Controles de Conformidade Regulatória do Azure Policy para os Serviços de IA do Azure
A Conformidade Regulatória no Azure Policy fornece definições de iniciativas criadas e gerenciadas pela Microsoft, conhecidas como internos, para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Essa página lista os domínios de conformidade e os controles de segurança para os Serviços de IA do Azure. Você pode atribuir os itens internos a um controle de segurança individualmente a fim de ajudar a manter seus recursos do Azure em conformidade com o padrão específico.
O título de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão da Política para ver a origem no repositório GitHub do Azure Policy.
Importante
Cada controle está associado a uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Portanto, a Conformidade no Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os controles e as definições de Conformidade Regulatória do Azure Policy para esses padrões de conformidade podem mudar com o tempo.
CMMC nível 3
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira Cybersecurity Maturity Model Certification (CMMC).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
FedRAMP Alto
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.
FedRAMP Moderado
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.
Referência de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o parâmetro de comparação de segurança da nuvem da Microsoft, confira os Arquivos de mapeamento do Azure Security Benchmark.
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Segurança de rede | NS-2 | Proteger serviços de nuvem usando controles de rede | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Segurança de rede | NS-2 | Proteger serviços de nuvem usando controles de rede | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Segurança de rede | NS-2 | Proteger serviços de nuvem usando controles de rede | Os recursos dos Serviços de IA do Azure devem usar o Link Privado do Azure | 1.0.0 |
| Gerenciamento de Identidades | IM-1 | Usar um sistema centralizado de identidade e autenticação | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Proteção de dados | DP-5 | Use a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
| Log e detecção de ameaças | LT-3 | Habilitar registro em log para investigação de segurança | Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | 1.0.0 |
NIST SP 800-171 R2
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Controle de acesso | 3.1.13 | Empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Controle de acesso | 3.1.14 | Rotear o acesso remoto por meio de pontos de controle de acesso gerenciados. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Controle de acesso | 3.1.2 | Limitar o acesso do sistema aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| Identificação e Autenticação | 3.5.1 | Identifique usuários do sistema, processos que atuam em nome de usuários e dispositivos. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Identificação e Autenticação | 3.5.5 | Impeça a reutilização de identificadores por um período definido. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| Identificação e Autenticação | 3.5.6 | Desabilitar os identificadores após um período de inatividade definido. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
NIST SP 800-53 Rev. 4
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | [Preterido]: Os Serviços Cognitivos devem usar o link privado | 3.0.1-deprecated |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
| U.07.3 Separação de dados – Recursos de gerenciamento | U.07.3 | U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | 1.1.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
Reserve Bank of India IT Framework for Banks v2016
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa avançados contra ameaças em tempo real-13.4 | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 | |
| Antiphishing | Antiphishing – 14.1 | Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | 3.2.0 |
System and Organization Controls (SOC) 2
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, confira Detalhes de conformidade regulatória do Azure Policy para o SOC (Controles de Sistema e Organização) 2. Para obter mais informações sobre esse padrão de conformidade, confira o SOC (Controles de Sistema e Organização) 2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | 2.2.0 |
Próximas etapas
- Saiba mais sobre a Conformidade Regulatória do Azure Policy.
- Confira os internos no repositório Azure Policy GitHub.