Controlos de Conformidade Regulamentar da Política do Azure para Máquinas Virtuais do Azure
Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes
A Conformidade Regulatória na Política do Azure fornece definições de iniciativa criadas e gerenciadas pela Microsoft, conhecidas como internas, para os domínios de conformidade e controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controlos de segurança para as Máquinas Virtuais do Azure . Você pode atribuir os internos para um controle de segurança individualmente para ajudar a tornar seus recursos do Azure compatíveis com o padrão específico.
O título de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão da Política para exibir a fonte no repositório GitHub da Política do Azure.
Importante
Cada controle está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência um-para-um ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre controles e definições de Conformidade Regulatória da Política do Azure para esses padrões de conformidade podem mudar ao longo do tempo.
ISM PROTECTED da Administração Australiana
Para analisar como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulatória da Política do Azure - Governo Australiano ISM PROTECTED. Para obter mais informações sobre esse padrão de conformidade, consulte ISM PROTECTED do governo australiano.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 415 | Identificação do utilizador - 415 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 415 | Identificação do utilizador - 415 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 415 | Identificação do utilizador - 415 | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 415 | Identificação do utilizador - 415 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 421 | Autenticação de fator único - 421 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 421 | Autenticação de fator único - 421 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 421 | Autenticação de fator único - 421 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 421 | Autenticação de fator único - 421 | As máquinas Windows devem atender aos requisitos de 'Configurações de Segurança - Políticas de Conta' | 3.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 445 | Acesso privilegiado aos sistemas - 445 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 445 | Acesso privilegiado aos sistemas - 445 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 445 | Acesso privilegiado aos sistemas - 445 | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 445 | Acesso privilegiado aos sistemas - 445 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para monitoramento do sistema - Registro e auditoria de eventos | 582 | Eventos a registar - 582 | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 940 | Quando corrigir vulnerabilidades de segurança - 940 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 940 | Quando corrigir vulnerabilidades de segurança - 940 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para criptografia - Transport Layer Security | 1139 | Usando a segurança da camada de transporte - 1139 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para criptografia - Transport Layer Security | 1139 | Usando a segurança da camada de transporte - 1139 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Diretrizes para criptografia - Transport Layer Security | 1139 | Usando a segurança da camada de transporte - 1139 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para criptografia - Transport Layer Security | 1139 | Usando a segurança da camada de transporte - 1139 | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para rede - Projeto e configuração de rede | 1182 | Controles de acesso à rede - 1182 | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Diretrizes para sistemas de banco de dados - Servidores de banco de dados | 1277 | Comunicações entre servidores de base de dados e servidores web - 1277 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para sistemas de banco de dados - Servidores de banco de dados | 1277 | Comunicações entre servidores de base de dados e servidores web - 1277 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Diretrizes para sistemas de banco de dados - Servidores de banco de dados | 1277 | Comunicações entre servidores de base de dados e servidores web - 1277 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para sistemas de banco de dados - Servidores de banco de dados | 1277 | Comunicações entre servidores de base de dados e servidores web - 1277 | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Diretrizes para gateways - Filtragem de conteúdo | 1288 | Verificação antivírus - 1288 | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Diretrizes para a Gestão do Sistema - Administração do Sistema | 1386 | Restrição da gestão dos fluxos de tráfego - 1386 | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Diretrizes para proteção do sistema - Fortalecimento do sistema operacional | 1417 | Software antivírus - 1417 | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1472 | Quando corrigir vulnerabilidades de segurança - 1472 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1472 | Quando corrigir vulnerabilidades de segurança - 1472 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1495 | Quando corrigir vulnerabilidades de segurança - 1495 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1495 | Quando corrigir vulnerabilidades de segurança - 1495 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Correção do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1503 | Acesso padrão aos sistemas - 1503 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1503 | Acesso padrão aos sistemas - 1503 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1503 | Acesso padrão aos sistemas - 1503 | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1503 | Acesso padrão aos sistemas - 1503 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1507 | Acesso privilegiado aos sistemas - 1507 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1507 | Acesso privilegiado aos sistemas - 1507 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1507 | Acesso privilegiado aos sistemas - 1507 | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1507 | Acesso privilegiado aos sistemas - 1507 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1508 | Acesso privilegiado aos sistemas - 1508 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1508 | Acesso privilegiado aos sistemas - 1508 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1508 | Acesso privilegiado aos sistemas - 1508 | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1508 | Acesso privilegiado aos sistemas - 1508 | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Orientações para a Segurança do Pessoal - Acesso aos sistemas e aos seus recursos | 1508 | Acesso privilegiado aos sistemas - 1508 | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Diretrizes para o gerenciamento do sistema - Backup e restauração de dados | 1511 | Executando backups - 1511 | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 1546 | Autenticação em sistemas - 1546 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 1546 | Autenticação em sistemas - 1546 | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 1546 | Autenticação em sistemas - 1546 | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 1546 | Autenticação em sistemas - 1546 | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| Diretrizes para proteção do sistema - Proteção de autenticação | 1546 | Autenticação em sistemas - 1546 | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
Canada Federal PBMM
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - PBMM federal do Canadá. Para obter mais informações sobre esse padrão de conformidade, consulte Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 2 Centro de Segurança | 2.10 | Verifique se a configuração de política padrão ASC "Monitor Vulnerability Assessment" não está "Desabilitada" | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| 2 Centro de Segurança | 2,12 | Verifique se a configuração de política padrão ASC "Monitorar acesso à rede JIT" não está "Desabilitada" | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 2 Centro de Segurança | 2.4 | Verifique se a configuração de política padrão ASC "Monitorar vulnerabilidades do sistema operacional" não está "Desabilitada" | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 2 Centro de Segurança | 2.9 | Verifique se a configuração de política padrão ASC "Ativar monitoramento de firewall de próxima geração (NGFW)" não está "Desabilitada" | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 7 Máquinas Virtuais | 7.4 | Certifique-se de que apenas as extensões aprovadas estão instaladas | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
CIS Microsoft Azure Fundações Benchmark 1.3.0
Para analisar como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulatória da Política do Azure - CIS Microsoft Azure Foundations Benchmark 1.3.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 7 Máquinas Virtuais | 7.1 | Verifique se as máquinas virtuais estão utilizando discos gerenciados | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 Máquinas Virtuais | 7.4 | Certifique-se de que apenas as extensões aprovadas estão instaladas | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
| 7 Máquinas Virtuais | 7.6 | Verifique se a proteção de ponto de extremidade para todas as máquinas virtuais está instalada | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
Benchmark 1.4.0 do CIS Microsoft Azure Foundations
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para o CIS v1.4.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 7 Máquinas Virtuais | 7.1 | Verifique se as máquinas virtuais estão utilizando discos gerenciados | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 Máquinas Virtuais | 7.4 | Verifique se apenas as extensões aprovadas estão instaladas | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
CIS Microsoft Azure Fundações Benchmark 2.0.0
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes da Conformidade Regulatória da Política do Azure para o CIS v2.0.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Verifique se a Recomendação do Microsoft Defender para o status 'Aplicar atualizações do sistema' está 'Concluída' | As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | 3.7.0 |
| 6 | 6.1 | Garantir que o acesso RDP da Internet seja avaliado e restrito | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| 6 | 6.2 | Garantir que o acesso SSH da Internet seja avaliado e restrito | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| 7 | 7.2 | Verifique se as máquinas virtuais estão utilizando discos gerenciados | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 | 7.4 | Certifique-se de que os 'Discos não anexados' estão encriptados com a 'Chave Gerida pelo Cliente' (CMK) | Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | 1.0.0 |
| 7 | 7.5 | Verifique se apenas as extensões aprovadas estão instaladas | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
CMMC Nível 3
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - CMMC Nível 3. Para obter mais informações sobre esse padrão de conformidade, consulte Certificação de modelo de maturidade de segurança cibernética (CMMC).
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| Controlo de Acesso | AC.1.001 | Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Controlo de Acesso | AC.1.002 | Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controlo de Acesso | AC.1.002 | Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controlo de Acesso | AC.1.002 | Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Controlo de Acesso | AC.1.002 | Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| Controlo de Acesso | AC.1.003 | Verificar e controlar/limitar as ligações e a utilização de sistemas de informação externos. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controlo de Acesso | AC.2.007 | Utilize o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controlo de Acesso | AC.2.008 | Use contas ou funções não privilegiadas ao acessar funções que não sejam de segurança. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | 3.0.0 |
| Controlo de Acesso | AC.2.008 | Use contas ou funções não privilegiadas ao acessar funções que não sejam de segurança. | As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | 3.0.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controlo de Acesso | AC.2.013 | Monitorize e controle sessões de acesso remoto. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Controlo de Acesso | AC.2.016 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controlo de Acesso | AC.2.016 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| Controlo de Acesso | AC.3.017 | Separar os deveres dos indivíduos para reduzir o risco de atividade malévola sem conluio. | Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | 2.0.0 |
| Controlo de Acesso | AC.3.017 | Separar os deveres dos indivíduos para reduzir o risco de atividade malévola sem conluio. | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Controlo de Acesso | AC.3.018 | Impeça que usuários não privilegiados executem funções privilegiadas e capture a execução dessas funções em logs de auditoria. | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - uso de privilégios' | 3.0.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | 3.0.0 |
| Controlo de Acesso | AC.3.021 | Autorize a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança. | As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | 3.0.0 |
| Auditoria e Prestação de Contas | AU.2.041 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| Auditoria e Prestação de Contas | AU.2.041 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Prestação de Contas | AU.2.041 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| Auditoria e Prestação de Contas | AU.2.041 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | AU.2.041 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários para que eles possam ser responsabilizados por suas ações. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Prestação de Contas | AU.2.042 | Crie e retenha logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| Auditoria e Prestação de Contas | AU.2.042 | Crie e retenha logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Prestação de Contas | AU.2.042 | Crie e retenha logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema. | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| Auditoria e Prestação de Contas | AU.2.042 | Crie e retenha logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema. | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | AU.2.042 | Crie e retenha logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Prestação de Contas | AU.3.046 | Alerta em caso de falha no processo de log de auditoria. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| Auditoria e Prestação de Contas | AU.3.046 | Alerta em caso de falha no processo de log de auditoria. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Prestação de Contas | AU.3.046 | Alerta em caso de falha no processo de log de auditoria. | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | AU.3.048 | Colete informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| Auditoria e Prestação de Contas | AU.3.048 | Colete informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Prestação de Contas | AU.3.048 | Colete informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| Auditoria e Prestação de Contas | AU.3.048 | Colete informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | AU.3.048 | Colete informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Avaliação de Segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles são eficazes em sua aplicação. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Segurança | CA.3.161 | Monitorizar os controlos de segurança numa base contínua para garantir a eficácia contínua dos controlos. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Gestão da Configuração | CM.2.061 | Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. | As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gestão da Configuração | CM.2.062 | Empregar o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer apenas recursos essenciais. | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - uso de privilégios' | 3.0.0 |
| Gestão da Configuração | CM.2.063 | Controle e monitorize o software instalado pelo utilizador. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | 3.0.0 |
| Gestão da Configuração | CM.2.064 | Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Gestão da Configuração | CM.2.064 | Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Gestão da Configuração | CM.2.065 | Rastreie, revise, aprove ou desaprove e registre alterações nos sistemas organizacionais. | As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Alteração de política' | 3.0.0 |
| Gestão da Configuração | CM.3.068 | Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Gestão da Configuração | CM.3.068 | Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Gestão da Configuração | CM.3.068 | Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Gestão da Configuração | CM.3.068 | Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | 2.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.079 | Proibir a reutilização de senha por um número especificado de gerações. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.079 | Proibir a reutilização de senha por um número especificado de gerações. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.079 | Proibir a reutilização de senha por um número especificado de gerações. | Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Identificação e Autenticação | IA.2.079 | Proibir a reutilização de senha por um número especificado de gerações. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.079 | Proibir a reutilização de senha por um número especificado de gerações. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas por criptografia. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas por criptografia. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas por criptografia. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas por criptografia. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas por criptografia. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.3.084 | Utilize mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas e não privilegiadas. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Recuperação | RE.2.137 | Execute e teste regularmente backups de dados. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| Recuperação | RE.2.137 | Execute e teste regularmente backups de dados. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| Recuperação | RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido organizacionalmente. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| Recuperação | RE.3.139 | Execute regularmente backups de dados completos, abrangentes e resilientes, conforme definido organizacionalmente. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| Avaliação de Riscos | RM.2.141 | Avaliar periodicamente o risco para as operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos, resultante da operação de sistemas organizacionais e do processamento, armazenamento ou transmissão de CUI associados. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Riscos | RM.2.142 | Analise vulnerabilidades em sistemas e aplicativos organizacionais periodicamente e quando novas vulnerabilidades que afetem esses sistemas e aplicativos forem identificadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Riscos | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Riscos | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.175 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.176 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.1.176 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.177 | Utilize criptografia validada pelo FIPS quando usada para proteger a confidencialidade do CUI. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.181 | Separe a funcionalidade do usuário da funcionalidade de gerenciamento do sistema. | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.183 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Proteção de Sistemas e Comunicações | SC.3.185 | Implementar mecanismos criptográficos para impedir a divulgação não autorizada de CUI durante a transmissão, a menos que protegido de outra forma por salvaguardas físicas alternativas. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Proteção de Sistemas e Comunicações | SC.3.190 | Proteja a autenticidade das sessões de comunicações. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Integridade do Sistema e da Informação | SI.1.210 | Identificar, reportar e corrigir informações e falhas do sistema de informação em tempo hábil. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | SI.1.210 | Identificar, reportar e corrigir informações e falhas do sistema de informação em tempo hábil. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Integridade do Sistema e da Informação | SI.1.211 | Fornecer proteção contra códigos maliciosos em locais apropriados dentro dos sistemas de informação organizacionais. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | SI.1.211 | Fornecer proteção contra códigos maliciosos em locais apropriados dentro dos sistemas de informação organizacionais. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Integridade do Sistema e da Informação | SI.1.212 | Atualize os mecanismos de proteção contra códigos maliciosos quando novas versões estiverem disponíveis. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | SI.1.213 | Execute verificações periódicas do sistema de informação e verificações em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | SI.1.213 | Execute verificações periódicas do sistema de informação e verificações em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
FedRAMP High
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP High.
FedRAMP Moderado
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - FedRAMP Moderate. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP Moderate.
HIPAA HITRUST 9.2
Para analisar como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulatória da Política do Azure - HIPAA HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, consulte HIPAA HITRUST 9.2.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Identificação e autenticação do utilizador | 11210.01q2Organizacional.10 - 01.q | As assinaturas eletrónicas e as assinaturas manuscritas executadas em registos eletrónicos devem ser associadas aos respetivos registos eletrónicos. | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Identificação e autenticação do utilizador | 11211.01q2Organizacional.11 - 01.q | Os registos eletrónicos assinados devem conter informações associadas à assinatura num formato legível por pessoas. | Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | 2.0.0 |
| 02 Proteção de Pontos Finais | 0201.09j1Organizacional.124-09.j | 0201.09j1Organizacional.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | Implantar a extensão padrão Microsoft IaaSAntimalware para Windows Server | 1.1.0 |
| 02 Proteção de Pontos Finais | 0201.09j1Organizacional.124-09.j | 0201.09j1Organizacional.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| 06 Gestão de Configuração | 0605.10h1Sistema.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos arquivos do sistema | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 06 Gestão de Configuração | 0605.10h1Sistema.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos arquivos do sistema | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Auditoria' | 3.0.0 |
| 06 Gestão de Configuração | 0605.10h1Sistema.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos arquivos do sistema | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - Gerenciamento de contas' | 3.0.0 |
| 06 Gestão de Configuração | 0635.10k1Organizacional.12-10.k | 0635.10k1Organizacional.12-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0636.10k2Organizacional.1-10.k | 0636.10k2Organizacional.1-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0637.10k2Organizacional.2-10.k | 0637.10k2Organizacional.2-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0638.10k2Organizacional.34569-10.k | 0638.10k2Organizacional.34569-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0639.10k2Organizacional.78-10.k | 0639.10k2Organizacional.78-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0640.10k2Organizacional.1012-10.k | 0640.10k2Organizacional.1012-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0641.10k2Organizacional.11-10.k | 0641.10k2Organizacional.11-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0642.10k3Organizacional.12-10.k | 0642.10k3Organizacional.12-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0643.10k3Organizacional.3-10.k | 0643.10k3Organizacional.3-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 06 Gestão de Configuração | 0644.10k3Organizacional.4-10.k | 0644.10k3Organizacional.4-10.k 10.05 Segurança em Processos de Desenvolvimento e Suporte | As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | 3.0.0 |
| 07 Gestão de Vulnerabilidades | 0709.10m1Organizacional.1-10.m | 0709.10m1Organizacional.1-10.m 10.06 Gestão Técnica de Vulnerabilidades | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| 07 Gestão de Vulnerabilidades | 0709.10m1Organizacional.1-10.m | 0709.10m1Organizacional.1-10.m 10.06 Gestão Técnica de Vulnerabilidades | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 07 Gestão de Vulnerabilidades | 0709.10m1Organizacional.1-10.m | 0709.10m1Organizacional.1-10.m 10.06 Gestão Técnica de Vulnerabilidades | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Microsoft Network Server' | 3.0.0 |
| 07 Gestão de Vulnerabilidades | 0711.10m2Organizacional.23-10.m | 0711.10m2Organizacional.23-10.m 10.06 Gestão Técnica de Vulnerabilidades | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| 07 Gestão de Vulnerabilidades | 0713.10m2Organizacional.5-10.m | 0713.10m2Organizacional.5-10.m 10.06 Gestão Técnica de Vulnerabilidades | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 07 Gestão de Vulnerabilidades | 0718.10m3Organizacional.34-10.m | 0718.10m3Organizacional.34-10.m 10.06 Gestão Técnica de Vulnerabilidades | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 08 Proteção de rede | 0805.01m1Organizacional.12-01.m | 0805.01m1Organizacional.12-01.m 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0806.01m2Organizacional.12356-01.m | 0806.01m2Organizacional.12356-01.m 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0809.01n2Organizacional.1234-01.n | 0809.01n2Organizacional.1234-01.n 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0810.01n2Organizacional.5-01.n | 0810.01n2Organizacional.5-01.n 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0811.01n2Organizacional.6-01.n | 0811.01n2Organizacional.6-01.n 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0812.01n2Organizacional.8-01.n | 0812.01n2Organizacional.8-01.n 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0814.01n1Organizacional.12-01.n | 0814.01n1Organizacional.12-01.n 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de rede | 0835.09n1Organizacional.1-09.n | 0835.09n1Organizacional.1-09.n 09.06 Gestão de Segurança de Rede | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| 08 Proteção de rede | 0835.09n1Organizacional.1-09.n | 0835.09n1Organizacional.1-09.n 09.06 Gestão de Segurança de Rede | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| 08 Proteção de rede | 0836.09.n2Organizacional.1-09.n | 0836.09.n2Organizacional.1-09.n 09.06 Gestão de Segurança de Rede | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 08 Proteção de rede | 0858.09m1Organizacional.4-09.m | 0858.09m1Organizacional.4-09.m 09.06 Gestão de Segurança de Rede | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 08 Proteção de rede | 0858.09m1Organizacional.4-09.m | 0858.09m1Organizacional.4-09.m 09.06 Gestão de Segurança de Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 08 Proteção de rede | 0858.09m1Organizacional.4-09.m | 0858.09m1Organizacional.4-09.m 09.06 Gestão de Segurança de Rede | As máquinas Windows devem atender aos requisitos para 'Propriedades do Firewall do Windows' | 3.0.0 |
| 08 Proteção de rede | 0861.09m2Organizacional.67-09.m | 0861.09m2Organizacional.67-09.m 09.06 Gestão de Segurança de Rede | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | 3.0.0 |
| 08 Proteção de rede | 0885.09n2Organizacional.3-09.n | 0885.09n2Organizacional.3-09.n 09.06 Gestão de Segurança de Rede | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 08 Proteção de rede | 0887.09n2Organizacional.5-09.n | 0887.09n2Organizacional.5-09.n 09.06 Gestão de Segurança de Rede | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| 08 Proteção de rede | 0894.01m2Organizacional.7-01.m | 0894.01m2Organizacional.7-01.m 01.04 Controlo de Acesso à Rede | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Cópia de segurança | 1699.09l1Organizacional.10 - 09.l | As funções e responsabilidades dos membros da força de trabalho no processo de backup de dados são identificadas e comunicadas à força de trabalho; em particular, os usuários do Bring Your Own Device (BYOD) são obrigados a realizar backups de dados organizacionais e/ou de clientes em seus dispositivos. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| 09 Proteção de transmissão | 0945.09y1Organizacional.3-09.y | 0945.09y1Organizacional.3-09.y 09.09 Serviços de Comércio Eletrónico | Auditar máquinas Windows que não contêm os certificados especificados na Raiz Confiável | 3.0.0 |
| 11 Controlo de Acessos | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acesso autorizado a sistemas de informação | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controlo de Acessos | 1119.01j2Organizacional.3-01.j | 1119.01j2Organizacional.3-01.j 01.04 Controlo de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controlo de Acessos | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Controlo de Acesso ao Sistema Operativo | Auditar máquinas Windows com contas extras no grupo Administradores | 2.0.0 |
| 11 Controlo de Acessos | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Controlo de Acesso ao Sistema Operativo | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| 11 Controlo de Acessos | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Controlo de Acesso ao Sistema Operativo | Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | 2.0.0 |
| 11 Controlo de Acessos | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acesso autorizado a sistemas de informação | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| 11 Controlo de Acessos | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acesso autorizado a sistemas de informação | As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Contas' | 3.0.0 |
| 11 Controlo de Acessos | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acesso autorizado a sistemas de informação | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| 11 Controlo de Acessos | 1175.01j1Organizacional.8-01.j | 1175.01j1Organizacional.8-01.j 01.04 Controlo de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controlo de Acessos | 1179.01j3Organizacional.1-01.j | 1179.01j3Organizacional.1-01.j 01.04 Controle de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controlo de Acessos | 1192.01l1Organizacional.1-01.l | 1192.01l1Organizacional.1-01.l 01.04 Controlo de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controlo de Acessos | 1193.01l2Organizacional.13-01.l | 1193.01l2Organizacional.13-01.l 01.04 Controlo de Acesso à Rede | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| 12 Registo de Auditoria e Monitorização | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Monitorização | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 12 Registo de Auditoria e Monitorização | 12101.09ab1Organizacional.3-09.ab | 12101.09ab1Organizacional.3-09.ab 09.10 Monitorização | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| 12 Registo de Auditoria e Monitorização | 12102.09ab1Organizacional.4-09.ab | 12102.09ab1Organizacional.4-09.ab 09.10 Monitorização | Auditar máquinas Windows nas quais o agente do Log Analytics não está conectado conforme o esperado | 2.0.0 |
| 12 Registo de Auditoria e Monitorização | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitorização | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 12 Registo de Auditoria e Monitorização | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitorização | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| 12 Registo de Auditoria e Monitorização | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitorização | Auditar máquinas Windows nas quais o agente do Log Analytics não está conectado conforme o esperado | 2.0.0 |
| 12 Registo de Auditoria e Monitorização | 1232.09c3Organizacional.12-09.c | 1232.09c3Organizacional.12-09.c 09.01 Procedimentos operacionais documentados | As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | 3.0.0 |
| 12 Registo de Auditoria e Monitorização | 1277.09c2Organizacional.4-09.c | 1277.09c2Organizacional.4-09.c 09.01 Procedimentos operacionais documentados | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastres | 1620.09l1Organizacional.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Backup de informações | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastres | 1625.09l3Organizacional.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Backup de informações | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastres | 1634.12b1Organizacional.1-12.b | 1634.12b1Organizacional.1-12.b 12.01 Aspetos de segurança da informação do gerenciamento de continuidade de negócios | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| 16 Continuidade de negócios e recuperação de desastres | 1637.12b2Organizacional.2-12.b | 1637.12b2Organizacional.2-12.b 12.01 Aspetos de segurança da informação do gerenciamento da continuidade de negócios | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Console de recuperação' | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastres | 1638.12b2Organizacional.345-12.b | 1638.12b2Organizacional.345-12.b 12.01 Aspetos de segurança da informação do gerenciamento de continuidade de negócios | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
IRS 1075 setembro 2016
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - IRS 1075 de setembro de 2016. Para obter mais informações sobre essa norma de conformidade, consulte IRS 1075 de setembro de 2016.
ISO 27001:2013
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - ISO 27001:2013. Para obter mais informações sobre essa norma de conformidade, consulte ISO 27001:2013.
Políticas confidenciais da linha de base do Microsoft Cloud for Sovereignty
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes da Conformidade Regulatória da Política do Azure para Políticas Confidenciais da Linha de Base da Soberania MCfS. Para obter mais informações sobre esse padrão de conformidade, consulte o portfólio de políticas do Microsoft Cloud for Soberania.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.3 - Chaves Geridas pelo Cliente | SO.3 | Os produtos do Azure devem ser configurados para usar chaves gerenciadas pelo cliente quando possível. | Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | 1.0.0 |
| SO.4 - Computação Confidencial do Azure | SO.4 | Os produtos do Azure devem ser configurados para usar SKUs de Computação Confidencial do Azure quando possível. | SKUs de tamanho de máquina virtual permitido | 1.0.1 |
Políticas globais de linha de base do Microsoft Cloud for Sovereignty
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para Políticas Globais da Linha de Base da Soberania MCfS. Para obter mais informações sobre esse padrão de conformidade, consulte o portfólio de políticas do Microsoft Cloud for Soberania.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.5 - Lançamento confiável | SO.5 | As VMs devem ser configuradas com SKUs de Inicialização Confiável e Inicialização Confiável habilitadas quando possível. | Os discos e a imagem do SO devem suportar TrustedLaunch | 1.0.0 |
| SO.5 - Lançamento confiável | SO.5 | As VMs devem ser configuradas com SKUs de Inicialização Confiável e Inicialização Confiável habilitadas quando possível. | A máquina virtual deve ter TrustedLaunch ativado | 1.0.0 |
Referência da segurança da cloud da Microsoft
O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o benchmark de segurança na nuvem da Microsoft, consulte os arquivos de mapeamento do Azure Security Benchmark.
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - Referência de segurança na nuvem da Microsoft.
NIST SP 800-171 R2
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-171 R2.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Controlo de Acesso | 3.1.1 | Limitar o acesso ao sistema a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas). | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| Controlo de Acesso | 3.1.12 | Monitorize e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controlo de Acesso | 3.1.12 | Monitorize e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Controlo de Acesso | 3.1.12 | Monitorize e controle sessões de acesso remoto. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controlo de Acesso | 3.1.12 | Monitorize e controle sessões de acesso remoto. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| Controlo de Acesso | 3.1.12 | Monitorize e controle sessões de acesso remoto. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Controlo de Acesso | 3.1.13 | Utilize mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Controlo de Acesso | 3.1.14 | Encaminhe o acesso remoto através de pontos de controle de acesso gerenciados. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Controlo de Acesso | 3.1.2 | Limite o acesso ao sistema aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Controlo de Acesso | 3.1.3 | Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controlo de Acesso | 3.1.4 | Separar os deveres dos indivíduos para reduzir o risco de atividade malévola sem conluio. | Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | 2.0.0 |
| Controlo de Acesso | 3.1.4 | Separar os deveres dos indivíduos para reduzir o risco de atividade malévola sem conluio. | Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | 2.0.0 |
| Avaliação de Riscos | 3.11.2 | Analise vulnerabilidades em sistemas e aplicativos organizacionais periodicamente e quando novas vulnerabilidades que afetem esses sistemas e aplicativos forem identificadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Riscos | 3.11.2 | Analise vulnerabilidades em sistemas e aplicativos organizacionais periodicamente e quando novas vulnerabilidades que afetem esses sistemas e aplicativos forem identificadas. | Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | 1.0.0 |
| Avaliação de Riscos | 3.11.2 | Analise vulnerabilidades em sistemas e aplicativos organizacionais periodicamente e quando novas vulnerabilidades que afetem esses sistemas e aplicativos forem identificadas. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Avaliação de Riscos | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Avaliação de Riscos | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | 1.0.0 |
| Avaliação de Riscos | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.1 | Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.10 | Estabelecer e gerenciar chaves criptográficas para criptografia empregadas em sistemas organizacionais. | Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | 1.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.10 | Estabelecer e gerenciar chaves criptográficas para criptografia empregadas em sistemas organizacionais. | OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.16 | Proteja a confidencialidade do CUI em repouso. | Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | 1.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.2 | Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.5 | Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.6 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.6 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.6 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.6 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.6 | Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção de Sistemas e Comunicações | 3.13.8 | Implementar mecanismos criptográficos para impedir a divulgação não autorizada de CUI durante a transmissão, a menos que protegido de outra forma por salvaguardas físicas alternativas. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Integridade do Sistema e da Informação | 3.14.1 | Identifique, relate e corrija falhas do sistema em tempo hábil. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Integridade do Sistema e da Informação | 3.14.1 | Identifique, relate e corrija falhas do sistema em tempo hábil. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Integridade do Sistema e da Informação | 3.14.1 | Identifique, relate e corrija falhas do sistema em tempo hábil. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| Integridade do Sistema e da Informação | 3.14.2 | Forneça proteção contra códigos maliciosos em locais designados dentro dos sistemas organizacionais. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | 3.14.2 | Forneça proteção contra códigos maliciosos em locais designados dentro dos sistemas organizacionais. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Integridade do Sistema e da Informação | 3.14.2 | Forneça proteção contra códigos maliciosos em locais designados dentro dos sistemas organizacionais. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| Integridade do Sistema e da Informação | 3.14.4 | Atualize os mecanismos de proteção contra códigos maliciosos quando novas versões estiverem disponíveis. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | 3.14.4 | Atualize os mecanismos de proteção contra códigos maliciosos quando novas versões estiverem disponíveis. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Integridade do Sistema e da Informação | 3.14.4 | Atualize os mecanismos de proteção contra códigos maliciosos quando novas versões estiverem disponíveis. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| Integridade do Sistema e da Informação | 3.14.5 | Execute verificações periódicas de sistemas organizacionais e verificações em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e da Informação | 3.14.5 | Execute verificações periódicas de sistemas organizacionais e verificações em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| Integridade do Sistema e da Informação | 3.14.5 | Execute verificações periódicas de sistemas organizacionais e verificações em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| Integridade do Sistema e da Informação | 3.14.6 | Monitore os sistemas organizacionais, incluindo o tráfego de comunicações de entrada e saída, para detetar ataques e indicadores de ataques potenciais. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| Integridade do Sistema e da Informação | 3.14.6 | Monitore os sistemas organizacionais, incluindo o tráfego de comunicações de entrada e saída, para detetar ataques e indicadores de ataques potenciais. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| Integridade do Sistema e da Informação | 3.14.6 | Monitore os sistemas organizacionais, incluindo o tráfego de comunicações de entrada e saída, para detetar ataques e indicadores de ataques potenciais. | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Integridade do Sistema e da Informação | 3.14.6 | Monitore os sistemas organizacionais, incluindo o tráfego de comunicações de entrada e saída, para detetar ataques e indicadores de ataques potenciais. | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Integridade do Sistema e da Informação | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| Integridade do Sistema e da Informação | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| Integridade do Sistema e da Informação | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Integridade do Sistema e da Informação | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.1 | Criar e reter logs e registros de auditoria do sistema na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas do sistema | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | 1.1.0 |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Prestação de Contas | 3.3.2 | Garantir que as ações de usuários individuais do sistema possam ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados por suas ações. | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Gestão da Configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. | As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gestão da Configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. | As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Gestão da Configuração | 3.4.2 | Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gestão da Configuração | 3.4.2 | Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. | As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas por criptografia. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos, como pré-requisito para permitir o acesso a sistemas organizacionais. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.4 | Utilize mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas e não privilegiadas. | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | 2.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e altere os caracteres quando novas senhas forem criadas. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.8 | Proibir a reutilização de senha por um número especificado de gerações. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.8 | Proibir a reutilização de senha por um número especificado de gerações. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.8 | Proibir a reutilização de senha por um número especificado de gerações. | Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Identificação e Autenticação | 3.5.8 | Proibir a reutilização de senha por um número especificado de gerações. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Proteção dos meios de comunicação social | 3.8.9 | Proteja a confidencialidade do CUI de backup em locais de armazenamento. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
NIST SP 800-53 Rev. 4
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulamentar da Política do Azure - NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-53 Rev. 5.
NL BIO Cloud Tema
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, consulte Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestão de vulnerabilidades técnicas - Prazos | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches são instalados o mais tardar dentro de uma semana. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| C.04.3 Gestão de vulnerabilidades técnicas - Prazos | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches são instalados o mais tardar dentro de uma semana. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| C.04.3 Gestão de vulnerabilidades técnicas - Prazos | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches são instalados o mais tardar dentro de uma semana. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| C.04.6 Gestão de vulnerabilidades técnicas - Prazos | C.04.6 | As deficiências técnicas podem ser corrigidas através da execução da gestão de patches em tempo útil. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| C.04.6 Gestão de vulnerabilidades técnicas - Prazos | C.04.6 | As deficiências técnicas podem ser corrigidas através da execução da gestão de patches em tempo útil. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| C.04.6 Gestão de vulnerabilidades técnicas - Prazos | C.04.6 | As deficiências técnicas podem ser corrigidas através da execução da gestão de patches em tempo útil. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| C.04.7 Gestão de vulnerabilidades técnicas - Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registadas e comunicadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| C.04.7 Gestão de vulnerabilidades técnicas - Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registadas e comunicadas. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| C.04.7 Gestão de vulnerabilidades técnicas - Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registadas e comunicadas. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| C.04.8 Gestão técnica de vulnerabilidades - Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados aos gestores/proprietários. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| C.04.8 Gestão técnica de vulnerabilidades - Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados aos gestores/proprietários. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| U.03.1 Serviços de Continuidade de Negócios - Redundância | U.03.1 | A continuidade acordada é garantida por funções do sistema suficientemente lógicas ou fisicamente múltiplas. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.03.1 Serviços de Continuidade de Negócios - Redundância | U.03.1 | A continuidade acordada é garantida por funções do sistema suficientemente lógicas ou fisicamente múltiplas. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| U.03.2 Serviços de continuidade de negócios - Requisitos de continuidade | U.03.2 | Os requisitos de continuidade para os serviços de computação em nuvem acordados com o CSC são assegurados pela arquitetura do sistema. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.03.2 Serviços de continuidade de negócios - Requisitos de continuidade | U.03.2 | Os requisitos de continuidade para os serviços de computação em nuvem acordados com o CSC são assegurados pela arquitetura do sistema. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| U.04.1 Data and Cloud Service Recovery - Função de restauração | U.04.1 | Os dados e os serviços em nuvem são restaurados dentro do prazo acordado e perda máxima de dados e disponibilizados ao CSC. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.04.2 Data and Cloud Service Recovery - Função de restauração | U.04.2 | O processo contínuo de proteção recuperável de dados é monitorado. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.04.3 Data and Cloud Service Recovery - Testado | U.04.3 | O funcionamento das funções de recuperação é periodicamente testado e os resultados são partilhados com o CSC. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.05.1 Proteção de dados - Medidas criptográficas | U.05.1 | O transporte de dados é protegido com criptografia, onde o gerenciamento de chaves é realizado pelo próprio CSC, se possível. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | 6.0.0-pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | 5.1.0-Pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | 3.1.0-Pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | 2.0.0-pré-visualização |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | 1.0.0 |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| U.05.2 Proteção de dados - Medidas criptográficas | U.05.2 | Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. | Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | 1.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | Os recursos de acesso ao disco devem usar link privado | 1.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| U.07.1 Separação de dados - Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| U.09.3 Malware Protection - Deteção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em diferentes ambientes. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| U.09.3 Malware Protection - Deteção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em diferentes ambientes. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| U.09.3 Malware Protection - Deteção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em diferentes ambientes. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| U.09.3 Malware Protection - Deteção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em diferentes ambientes. | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| U.10.2 Acesso a serviços e dados de TI - Utilizadores | U.10.2 | Sob a responsabilidade do CSP, o acesso é concedido aos administradores. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.2 Acesso a serviços e dados de TI - Utilizadores | U.10.2 | Sob a responsabilidade do CSP, o acesso é concedido aos administradores. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| U.10.2 Acesso a serviços e dados de TI - Utilizadores | U.10.2 | Sob a responsabilidade do CSP, o acesso é concedido aos administradores. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.2 Acesso a serviços e dados de TI - Utilizadores | U.10.2 | Sob a responsabilidade do CSP, o acesso é concedido aos administradores. | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI - Utilizadores | U.10.3 | Apenas os utilizadores com equipamento autenticado podem aceder aos serviços e dados informáticos. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.3 Acesso a serviços e dados de TI - Utilizadores | U.10.3 | Apenas os utilizadores com equipamento autenticado podem aceder aos serviços e dados informáticos. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| U.10.3 Acesso a serviços e dados de TI - Utilizadores | U.10.3 | Apenas os utilizadores com equipamento autenticado podem aceder aos serviços e dados informáticos. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI - Utilizadores | U.10.3 | Apenas os utilizadores com equipamento autenticado podem aceder aos serviços e dados informáticos. | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| U.10.5 Acesso a serviços e dados de TI - Competente | U.10.5 | O acesso aos serviços e dados informáticos é limitado por medidas técnicas e foi implementado. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.5 Acesso a serviços e dados de TI - Competente | U.10.5 | O acesso aos serviços e dados informáticos é limitado por medidas técnicas e foi implementado. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| U.10.5 Acesso a serviços e dados de TI - Competente | U.10.5 | O acesso aos serviços e dados informáticos é limitado por medidas técnicas e foi implementado. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.5 Acesso a serviços e dados de TI - Competente | U.10.5 | O acesso aos serviços e dados informáticos é limitado por medidas técnicas e foi implementado. | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| U.11.1 Cryptoservices - Política | U.11.1 | Na política de criptografia, pelo menos os assuntos de acordo com o BIO foram elaborados. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| U.11.1 Cryptoservices - Política | U.11.1 | Na política de criptografia, pelo menos os assuntos de acordo com o BIO foram elaborados. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| U.11.2 Cryptoservices - Medidas criptográficas | U.11.2 | No caso de certificados PKIoverheid, use os requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| U.11.2 Cryptoservices - Medidas criptográficas | U.11.2 | No caso de certificados PKIoverheid, use os requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | 6.0.0-pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | 5.1.0-Pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | 3.1.0-Pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | 2.0.0-pré-visualização |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | 1.0.0 |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| U.11.3 Cryptoservices - Criptografado | U.11.3 | Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. | Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | 1.0.0 |
| U.12.1 Interfaces - Conexões de rede | U.12.1 | Em pontos de conexão com zonas externas ou não confiáveis, medidas são tomadas contra ataques. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.12.1 Interfaces - Conexões de rede | U.12.1 | Em pontos de conexão com zonas externas ou não confiáveis, medidas são tomadas contra ataques. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| U.12.2 Interfaces - Conexões de rede | U.12.2 | Os componentes de rede são tais que as conexões de rede entre redes confiáveis e não confiáveis são limitadas. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.12.2 Interfaces - Conexões de rede | U.12.2 | Os componentes de rede são tais que as conexões de rede entre redes confiáveis e não confiáveis são limitadas. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | 2.0.0 |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | 2.0.0 |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| U.15.1 Registo e monitorização - Eventos registados | U.15.1 | A violação das regras da política é registada pelo CSP e pelo CSC. | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| U.15.3 Registo e monitorização - Eventos registados | U.15.3 | O CSP mantém uma lista de todos os ativos que são críticos em termos de registro e monitoramento e revisa essa lista. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| U.15.3 Registo e monitorização - Eventos registados | U.15.3 | O CSP mantém uma lista de todos os ativos que são críticos em termos de registro e monitoramento e revisa essa lista. | O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | 2.0.0 |
| U.15.3 Registo e monitorização - Eventos registados | U.15.3 | O CSP mantém uma lista de todos os ativos que são críticos em termos de registro e monitoramento e revisa essa lista. | O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | 2.0.0 |
| U.15.3 Registo e monitorização - Eventos registados | U.15.3 | O CSP mantém uma lista de todos os ativos que são críticos em termos de registro e monitoramento e revisa essa lista. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| U.17.1 Arquitetura multilocatária - Criptografado | U.17.1 | Os dados CSC no transporte e em repouso são criptografados. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| U.17.1 Arquitetura multilocatária - Criptografado | U.17.1 | Os dados CSC no transporte e em repouso são criptografados. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
PCI DSS 3.2.1
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte PCI DSS 3.2.1. Para obter mais informações sobre esse padrão de conformidade, consulte PCI DSS 3.2.1.
PCI DSS v4.0
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para PCI DSS v4.0. Para obter mais informações sobre esse padrão de conformidade, consulte PCI DSS v4.0.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Requisito 01: Instalar e manter controles de segurança de rede | 1.3.2 | O acesso à rede de e para o ambiente de dados do titular do cartão é restrito | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Requisito 01: Instalar e manter controles de segurança de rede | 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.2.2 | Os logs de auditoria são implementados para apoiar a deteção de anomalias e atividades suspeitas, e a análise forense de eventos | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| Requisito 10: Registar e monitorizar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas | As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | 1.0.0 |
| Requisito 11: Testar regularmente a segurança dos sistemas e redes | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 11: Testar regularmente a segurança dos sistemas e redes | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e abordadas | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.1 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.1 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.2 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.2 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.3 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 05: Proteger todos os sistemas e redes contra software mal-intencionado | 5.2.3 | O software mal-intencionado (malware) é prevenido ou detetado e abordado | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 06: Desenvolver e manter sistemas e software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e abordadas | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 06: Desenvolver e manter sistemas e software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e abordadas | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 06: Desenvolver e manter sistemas e software seguros | 6.4.1 | As aplicações Web voltadas para o público estão protegidas contra ataques | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Requisito 06: Desenvolver e manter sistemas e software seguros | 6.4.1 | As aplicações Web voltadas para o público estão protegidas contra ataques | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | 2.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | 2.1.0 |
| Requisito 08: Identificar usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
Reserve Bank of India - Estrutura de TI para NBFC
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - Reserve Bank of India - IT Framework for NBFC. Para obter mais informações sobre esse padrão de conformidade, consulte Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT Framework for Banks v2016
Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - RBI ITF Banks v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF Banks v2016 (PDF).
RMIT Malásia
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - RMIT Malásia. Para obter mais informações sobre esse padrão de conformidade, consulte RMIT Malásia.
Espanha ENS
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para Espanha ENS. Para obter mais informações sobre esse padrão de conformidade, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, consulte SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para o SWIFT CSP-CSCF v2022. Para obter mais informações sobre esse padrão de conformidade, consulte SWIFT CSP CSCF v2022.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.1 | Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.1 | Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.1 | Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.1 | Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.1 | Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.2 | Restrinja e controle a alocação e o uso de contas de sistema operacional de nível de administrador. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.3 | Proteja a plataforma de virtualização e as máquinas virtuais (VMs) que hospedam componentes relacionados ao SWIFT no mesmo nível dos sistemas físicos. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.4 | Controlar/Proteger o acesso à Internet a partir de PCs e sistemas de operadores dentro da zona segura. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1.4 | Controlar/Proteger o acesso à Internet a partir de PCs e sistemas de operadores dentro da zona segura. | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1,5-A | Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1,5-A | Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1,5-A | Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI. | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1,5-A | Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI. | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI | 1,5-A | Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI. | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.1 | Garantir a confidencialidade, integridade e autenticidade dos fluxos de dados de aplicativos entre componentes locais relacionados ao SWIFT. | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.1 | Garantir a confidencialidade, integridade e autenticidade dos fluxos de dados de aplicativos entre componentes locais relacionados ao SWIFT. | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado. | Auditar VMs do Windows com uma reinicialização pendente | 2.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | 3.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | 2.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,4-A | Segurança do fluxo de dados de back-office | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,4-A | Segurança do fluxo de dados de back-office | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,5-A | Proteção de dados de transmissão externa | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,5-A | Proteção de dados de transmissão externa | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,5-A | Proteção de dados de transmissão externa | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.6 | Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.6 | Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.6 | Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.6 | Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2.6 | Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT | As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Logon Interativo' | 3.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,7 | Identifique vulnerabilidades conhecidas no ambiente SWIFT local implementando um processo regular de verificação de vulnerabilidades e aja de acordo com os resultados. | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| 2. Reduza a superfície de ataque e as vulnerabilidades | 2,7 | Identifique vulnerabilidades conhecidas no ambiente SWIFT local implementando um processo regular de verificação de vulnerabilidades e aja de acordo com os resultados. | As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | 3.1.0 |
| 3. Proteger fisicamente o ambiente | 3.1 | Impeça o acesso físico não autorizado a equipamentos sensíveis, ambientes de trabalho, locais de hospedagem e armazenamento. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Linux que têm contas sem senhas | 3.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | 2.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | 2.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | 2.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | 3.1.0 |
| 4. Evite o comprometimento de credenciais | 4.1 | Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 5. Gerencie identidades e segregue privilégios | 5.1 | Aplicar os princípios de segurança de acesso necessário, privilégios mínimos e separação de funções para contas de operador. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 5. Gerencie identidades e segregue privilégios | 5.1 | Aplicar os princípios de segurança de acesso necessário, privilégios mínimos e separação de funções para contas de operador. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 5. Gerencie identidades e segregue privilégios | 5.1 | Aplicar os princípios de segurança de acesso necessário, privilégios mínimos e separação de funções para contas de operador. | Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | 2.0.0 |
| 5. Gerencie identidades e segregue privilégios | 5.1 | Aplicar os princípios de segurança de acesso necessário, privilégios mínimos e separação de funções para contas de operador. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 5. Gerencie identidades e segregue privilégios | 5,2 | Garanta o gerenciamento, o rastreamento e o uso adequados de autenticação de hardware conectado e desconectado ou tokens pessoais (quando os tokens são usados). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| 5. Gerencie identidades e segregue privilégios | 5.4 | Proteja física e logicamente o repositório de senhas gravadas. | Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | 2.0.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.1 | Certifique-se de que a infraestrutura SWIFT local está protegida contra malware e aja de acordo com os resultados. | O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.1 | Certifique-se de que a infraestrutura SWIFT local está protegida contra malware e aja de acordo com os resultados. | A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | 1.1.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | 2.0.1-Pré-visualização |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | 4.1.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | Auditar máquinas virtuais sem recuperação de desastres configurada | 1.0.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | 2.0.1 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | 1.0.1 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6,5-A | Detete e contenha atividade de rede anômala dentro e dentro do ambiente SWIFT local ou remoto. | [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | 1.0.2-Pré-visualização |
| 6. Detetar atividades anômalas em sistemas ou registros de transações | 6,5-A | Detete e contenha atividade de rede anômala dentro e dentro do ambiente SWIFT local ou remoto. | [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | 1.0.2-Pré-visualização |
Controles de Sistema e Organização (SOC) 2
Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para Controles de Sistema e Organização (SOC) 2. Para obter mais informações sobre esse padrão de conformidade, consulte Controles de sistema e organização (SOC) 2.
| Domínio | ID de controlo | Título do controlo | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Critérios adicionais de disponibilidade | A1.2 | Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
| Avaliação de Riscos | CC3.2 | Princípio 7 do COSO | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | A autenticação em máquinas Linux deve exigir chaves SSH | 3.2.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | O encaminhamento de IP em sua máquina virtual deve ser desabilitado | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,6 | Medidas de segurança contra ameaças fora dos limites do sistema | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógicos e físicos | CC6,7 | Restringir a circulação de informações a utilizadores autorizados | As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | 6.0.0-pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | 5.1.0-Pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | 3.1.0-Pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | 2.0.0-pré-visualização |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Controles de acesso lógicos e físicos | CC6,8 | Impedir ou detetar contra software não autorizado ou mal-intencionado | As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Operações do Sistema | CC7.1 | Deteção e monitorização de novas vulnerabilidades | Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | 3.0.0 |
| Operações do Sistema | CC7.2 | Monitorar componentes do sistema quanto a comportamentos anômalos | O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | 2.0.0 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | 6.0.0-pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | 5.1.0-Pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | 3.1.0-Pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | 4.0.0-Pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | 2.0.0-pré-visualização |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | A extensão Configuração do Convidado deve ser instalada em suas máquinas | 1.0.3 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Somente extensões de VM aprovadas devem ser instaladas | 1.0.0 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | 1.0.1 |
| Gestão de Alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Critérios adicionais para a integridade do processamento | PI1.5 | Armazene entradas e saídas de forma completa, precisa e oportuna | O Backup do Azure deve ser habilitado para Máquinas Virtuais | 3.0.0 |
UK OFFICIAL e UK NHS
Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulamentar da Política do Azure - UK OFFICIAL e UK NHS. Para obter mais informações sobre esse padrão de conformidade, consulte UK OFFICIAL.
Próximos passos
- Saiba mais sobre a Conformidade Regulatória da Política do Azure.
- Veja as incorporações no repositório do GitHub do Azure Policy.