Detalhes da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark 1.1.0
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no CIS Microsoft Azure Foundations Benchmark 1.1.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark 1.1.0. Para entender Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .
Os mapeamentos a seguir referem-se aos controles do CIS Microsoft Azure Foundations Benchmark 1.1.0. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição da iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v1.1.0.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
1 Gerenciamento de identidades e acesso
Garantir que a autenticação multifator esteja habilitada para todos os usuários privilegiados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Os usuários podem adicionar aplicativos da galeria ao Painel de Acesso' está definida como 'Não'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.10 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Os usuários podem registrar aplicativos' está definida como 'Não'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.11 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'As permissões de usuário convidado são limitadas' está definida como 'Sim'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.12 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Os membros podem convidar' está definida como 'Não'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.13 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Os convidados podem convidar' está definida como 'Não'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.14 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Restringir o acesso ao portal de administração do Azure AD' está definida como 'Sim'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.15 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Verificar se “Gerenciamento de grupo de autoatendimento habilitado” está definido como “não”
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.16 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Verificar se “Usuários podem criar grupos de segurança” está definido como “não”
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.17 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Verificar se “Usuários que podem gerenciar grupos de segurança” está definido como “nenhum”
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.18 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Verificar se “Usuários podem criar grupos do Office 365” está definido como “não”
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.19 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Garantir que a autenticação multifator esteja habilitada para todos os usuários não privilegiados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Verificar se “Usuários que podem gerenciar grupos do Office 365” está definido como “nenhum”
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.20 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Exigir autenticação multifator para ingressar em dispositivos' está definida como 'Sim'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.22 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
Garantir que nenhuma função personalizada de proprietário de assinatura seja criada
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.23 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Garantir que não haja usuários convidados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Reatribuir ou remover privilégios de usuário conforme o necessário | CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
| Examinar os privilégios do usuário | CMA_C1039 – Examinar os privilégios do usuário | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam' está 'Desabilitada'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Número de dias até que seja solicitada a reconfirmação das informações de autenticação dos usuários' não está definida como "0"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Notificar usuários sobre redefinições de senha?' está definida como 'Sim'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Notificar todos os administradores quando outros administradores redefinirem as respectivas senhas?' está definida como 'Sim'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Verificar se a opção 'Os usuários podem consentir com aplicativos que acessam dados da empresa em seus nomes' está definida como 'Não'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 1.9 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
2 Central de Segurança
Verificar se o tipo de preço Standard foi selecionado
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Detectar serviços de rede que não foram autorizados nem aprovados | CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar Avaliação de Vulnerabilidade" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.10 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
Garantir que a configuração padrão da política do ASC "Monitorar a Criptografia do Storage Blob" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.11 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar o Acesso à Rede JIT" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.12 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Detectar serviços de rede que não foram autorizados nem aprovados | CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados | Manual, Desabilitado | 1.1.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Garantir que a configuração padrão da política do ASC "Monitorar a Auditoria do SQL" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.14 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar a Criptografia do SQL" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.15 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
Garantir que a opção 'Emails de contato de segurança' esteja definida
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.16 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Garantir que a opção 'Enviar notificação por email para alertas de severidade alta' seja definida como 'Ativado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.18 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
Garantir que a opção 'Enviar email também para proprietários de assinatura' seja definida como 'Ativado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.19 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
Verificar se 'Provisionamento automático do agente de monitoramento' está definido como 'Ativo'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar Atualizações do Sistema" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar Vulnerabilidades do SO" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar a Proteção do Ponto de Extremidade" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar Criptografia de Disco" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração de política padrão do ASC "Monitorar Grupos de Segurança de Rede" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração padrão da política do ASC "Monitorar o Firewall do Aplicativo Web" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Garantir que a configuração de política padrão do ASC "Habilitar Monitoramento de NGFW (Firewall de Próxima Geração)" não esteja "Desabilitada"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 2.9 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
3 Contas de armazenamento
Garantir que "Transferência segura necessária" esteja definida como "Habilitado"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
Verificar se as chaves de acesso da conta de armazenamento são regeneradas periodicamente
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Verificar se o log de armazenamento do serviço Fila está habilitado para solicitações de leitura, gravação e exclusão
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Configurar as funcionalidades da Auditoria do Azure | CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure | Manual, Desabilitado | 1.1.1 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Verificar se os tokens de assinatura de acesso compartilhado expiram em até uma hora
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Encerrar a sessão do usuário automaticamente | CMA_C1054 – Encerrar a sessão do usuário automaticamente | Manual, Desabilitado | 1.1.0 |
Verificar se tokens de assinatura de acesso compartilhado são permitidos somente via https
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Verificar se "Nível de acesso público" está definido como Privado para contêineres de blobs
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Garantir que a regra de acesso de rede padrão para Contas de Armazenamento estejam definidas como negar
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
Garantir que a opção 'Serviços Confiáveis da Microsoft' esteja habilitada para acesso à conta de armazenamento
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 3.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
| Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
| Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
| Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
| As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
4 Serviços de banco de dados
Garantir que "Auditoria" esteja definida como "Ativado"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que o protetor de TDE do SQL Server seja criptografado com BYOK (Bring Your Own Key)
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.10 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
Garantir que a opção 'Impor conexão SSL' esteja definida para 'HABILITADO' para o servidor de banco de dados MySQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.11 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Garantir que o parâmetro de servidor 'log_checkpoints' seja definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.12 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Os pontos de verificação de log devem ser habilitados para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_checkpoints habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que a opção 'Impor conexão SSL' esteja definida para 'HABILITADO' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.13 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Garantir que o parâmetro de servidor 'log_connections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.14 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| As conexões de log devem ser habilitadas para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_connections habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que o parâmetro de servidor 'log_disconnections' seja definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.15 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| As desconexões devem ser registradas em log para os servidores de banco de dados PostgreSQL. | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem log_disconnections habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que o parâmetro de servidor 'log_duration' seja definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.16 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Garantir que o parâmetro de servidor 'connection_throttling' seja definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.17 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| A limitação de conexão deve estar habilitada para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a limitação de conexão habilitada. Essa configuração permite a otimização temporária da conexão por IP para muitas falhas inválidas de login de senha. | AuditIfNotExists, desabilitado | 1.0.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Verificar se o parâmetro de servidor 'log_retention_days' é maior que três dias para o servidor de banco de dados PostgreSQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.18 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Garantir que o administrador do Azure Active Directory esteja configurado
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.19 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Garantir que "AuditActionGroups" na política de "auditoria" de um SQL Server esteja definido corretamente
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| As configurações de Auditoria do SQL devem ter grupos de ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP para garantir um log de auditoria completo | AuditIfNotExists, desabilitado | 1.0.0 |
Garantir que a retenção de "Auditoria" seja "maior que 90 dias"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 3.0.0 |
Garantir que a "Segurança de Dados Avançada" em um SQL Server esteja definida como "Ativado"
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Garantir que 'Tipos de Detecção de Ameaças' esteja definido como 'Todos'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Garantir que 'Enviar alertas para' esteja configurado
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Garantir que 'Serviço de email e coadministradores' esteja 'Habilitado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Garantir que o administrador do Azure Active Directory esteja configurado
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 4.9 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
5 Registro em log e monitoramento
Garantir que exista um perfil de log
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Essa política verifica se um perfil de log está ativado para exportar logs de atividades. Ela audita se não há um perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Garantir que a retenção do log de atividades esteja definida para 365 dias ou mais
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O log de atividades deve ser retido por pelo menos um ano | Essa política auditará o log de atividades se a retenção não for definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desabilitado | 1.0.0 |
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Garantir que o perfil de auditoria capture todas as atividades
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias "gravar", "excluir" e "ação" | Essa política garante que um perfil de log colete logs para as categorias "gravar", "excluir" e "ação" | AuditIfNotExists, desabilitado | 1.0.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Garantir que o perfil de log capture logs de atividade para todas as regiões, incluindo global
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| O Azure Monitor deve coletar os logs de atividades de todas as regiões | Essa política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo global. | AuditIfNotExists, desabilitado | 2.0.0 |
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Verificar se o contêiner que armazena os logs de atividade não está acessível publicamente
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Garanta que a conta de armazenamento que tem o contêiner com logs de atividades seja criptografada com BYOK (Bring Your Own Key)
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Manter a integridade do sistema de auditoria | CMA_C1133 – Manter a integridade do sistema de auditoria | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
| A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK | Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desabilitado | 1.0.0 |
Garantir que o log do Azure Key Vault esteja 'Habilitado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.1.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Os logs de recursos do HSM Gerenciado pelo Azure Key Vault devem estar habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando a sua rede estiver comprometida, audite habilitando logs de recursos em HSMs gerenciados. Siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para criar atribuição de política
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações de política específicas | Essa política audita Operações de política específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 3.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para criar ou atualizar o Grupo de Segurança de Rede
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para excluir o grupo de segurança de rede
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para criar ou atualizar a regra do grupo de segurança de rede
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para excluir a regra do grupo de segurança de rede
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para criar ou atualizar a solução de segurança
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações de segurança específicas | Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para excluir a solução de segurança
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações de segurança específicas | Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para criar ou atualizar ou excluir a regra de firewall do SQL Server
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verifique se o alerta do log de atividades existe para atualizar a política de segurança
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 5.2.9 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Um alerta do log de atividades deve existir para Operações de segurança específicas | Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
6 Rede
Verificar se nenhum Banco de Dados SQL permite 0.0.0.0/0 (qualquer IP) de entrada
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Verificar se o período de retenção do log de fluxo do grupo de segurança de rede é 'superior a 90 dias'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Garantir que o Observador de Rede esteja 'Habilitado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 6.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Verificar funções de segurança | CMA_C1708 – Verificar funções de segurança | Manual, Desabilitado | 1.1.0 |
7 Máquinas virtuais
Garantir que o 'Disco do SO' seja criptografado
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Garantir que os 'Discos de dados' sejam criptografados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Garantir que os 'Discos não anexados' sejam criptografados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Garantir que apenas as extensões aprovadas sejam instaladas
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
Garantir que os Patches de SO mais recentes para todas as máquinas virtuais sejam aplicados
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que a proteção de ponto de extremidade para todas as máquinas virtuais esteja instalada
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 7.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
8 Outras considerações de segurança
Verifique se a data de validade está definida em todas as chaves
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| As chaves do Key Vault devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Audit, Deny, desabilitado | 1.0.2 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Verifique se a data de validade está definida em todos os segredos
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| Os segredos do Key Vault devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Audit, Deny, desabilitado | 1.0.2 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Verificar se os bloqueios de recursos estão definidos para recursos críticos do Azure
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Garantir que o cofre de chaves seja recuperável
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O HSM Gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão mal-intencionada de um HSM Gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um funcionário mal-intencionado na sua organização pode potencialmente excluir e limpar o HSM Gerenciado do Azure Key Vault. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM Gerenciado do Azure Key Vault de exclusão temporária. Ninguém dentro da sua organização nem a Microsoft poderá limpar o HSM Gerenciado do Azure Key Vault durante o período de retenção de exclusão temporária. | Audit, Deny, desabilitado | 1.0.0 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitada | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Manter a disponibilidade de informações | CMA_C1644 – Manter a disponibilidade de informações | Manual, Desabilitado | 1.1.0 |
Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 8.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
| O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes | Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.4 |
9 Serviço de Aplicativo
Garantir que a autenticação do serviço de aplicativo esteja definida no Serviço de Aplicativo do Azure
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. | AuditIfNotExists, desabilitado | 2.0.1 |
| Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
| Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. | AuditIfNotExists, desabilitado | 3.0.0 |
| Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo Web
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.10 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que o aplicativo Web redirecione todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Garantir que o aplicativo Web esteja usando a última versão da criptografia TLS
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Garantir que o aplicativo Web tenha a opção 'Certificados de Cliente (Certificados de cliente de entrada)' definida como 'Ativado'
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
Garantir que o Registro com o Azure Active Directory esteja habilitado no Serviço de Aplicativo
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Verificar se a versão do '.Net Framework' é a última, se usada como parte do aplicativo Web
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que a 'versão do PHP' seja a última, se usada para executar o aplicativo Web
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.7 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que a 'versão do Python' seja a última, se usada para executar o aplicativo Web
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Garantir que a 'versão do Java' seja a última, se usada para executar o aplicativo Web
ID: recomendação do CIS Microsoft Azure Foundations Benchmark 9.9 Propriedade: compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.