Detalhes da iniciativa interna de Conformidade Regulatória do FedRAMP High
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High. Para entender Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .
Os mapeamentos a seguir referem-se aos controles do FedRAMP High. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de conformidade regulatória FedRAMP High.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Controle de acesso
Procedimentos e Política de Controle de Acesso
ID: FedRAMP High AC-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Gerenciamento de Conta
ID: FedRAMP High AC-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo | Manual, Desabilitado | 1.1.0 |
| Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
| Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
| Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
| Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Gerenciamento automatizado de conta do sistema
ID: FedRAMP High AC-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Desabilitar contas inativas
ID: FedRAMP High AC-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Ações automatizadas de auditoria
ID: FedRAMP High AC-2 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
| Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Logoff por inatividade
ID: FedRAMP High AC-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor a política de log de inatividade | CMA_C1017 - Definir e impor a política de log de inatividade | Manual, Desabilitado | 1.1.0 |
Esquemas baseados em função
ID: FedRAMP High AC-2 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Restrições no Uso de Contas de Grupo/Compartilhadas
ID: FedRAMP High AC-2 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo | Manual, Desabilitado | 1.1.0 |
Encerramento de credencial de conta compartilhada/de grupo
ID: FedRAMP High AC-2 (10) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Encerrar as credenciais da conta controlada pelo cliente | CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente | Manual, Desabilitado | 1.1.0 |
Condições de uso
ID: FedRAMP High AC-2 (11) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor o uso apropriado de todas as contas | CMA_C1023 – Impor o uso apropriado de todas as contas | Manual, Desabilitado | 1.1.0 |
Monitoramento de conta/uso atípico
ID: FedRAMP High AC-2 (12) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
| Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Desabilitar contas de indivíduos de alto risco
ID: FedRAMP High AC-2 (13) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desabilitar contas de usuário que representam um risco significativo | CMA_C1026 – Desabilitar contas de usuário que representam um risco significativo | Manual, Desabilitado | 1.1.0 |
Regras de acesso
ID: FedRAMP High AC-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
| Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Política de fluxo de informações
ID: FedRAMP High AC-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.1-preterido |
| [Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| A API do Azure para FHIR deve usar um link privado | A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. | Audit, desabilitado | 1.0.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 3.2.1 |
| Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MariaDB | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores MySQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
Filtros de política de segurança
ID: FedRAMP High AC-4 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança | Manual, Desabilitado | 1.1.0 |
Separação física/lógica de fluxos de informações
ID: FedRAMP High AC-4 (21) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
| Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
| Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
| Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Separação de tarefas
ID: FedRAMP High AC-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir autorizações de acesso para dar suporte à separação de tarefas | CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas | Manual, Desabilitado | 1.1.0 |
| Documentar separação de tarefas | CMA_0204 – Documentar separação de tarefas | Manual, Desabilitado | 1.1.0 |
| Separar tarefas de indivíduos | CMA_0492 – Separar tarefas de indivíduos | Manual, Desabilitado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Privilégio mínimo
ID: FedRAMP High AC-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
| Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso à funções de segurança
ID: FedRAMP High AC-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
| Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Contas com privilégios
ID: FedRAMP High AC-6 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Análise dos privilégios do usuário
ID: FedRAMP High AC-6 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Reatribuir ou remover privilégios de usuário conforme o necessário | CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário | Manual, Desabilitado | 1.1.0 |
| Examinar os privilégios do usuário | CMA_C1039 – Examinar os privilégios do usuário | Manual, Desabilitado | 1.1.0 |
Níveis de privilégio para execução de código
ID: FedRAMP High AC-6 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor privilégios de execução de software | CMA_C1041 – Impor privilégios de execução de software | Manual, Desabilitado | 1.1.0 |
Uso de auditoria de funções com privilégios
ID: FedRAMP High AC-6 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
| Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
| Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
| Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Tentativas de logon malsucedidas
ID: FedRAMP High AC-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha | Manual, Desabilitado | 1.1.0 |
Controle de sessões simultâneas
ID: FedRAMP High AC-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e impor o limite de sessões simultâneas | CMA_C1050 – Definir e impor o limite de sessões simultâneas | Manual, Desabilitado | 1.1.0 |
Encerramento da sessão
ID: FedRAMP High AC-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Encerrar a sessão do usuário automaticamente | CMA_C1054 – Encerrar a sessão do usuário automaticamente | Manual, Desabilitado | 1.1.0 |
Logouts iniciados pelo usuário/exibições de mensagens
ID: FedRAMP High AC-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exibir uma mensagem explícita de logoff | CMA_C1056 - Exibir uma mensagem explícita de logoff | Manual, Desabilitado | 1.1.0 |
| Fornecer a funcionalidade de logout | CMA_C1055 - Fornecer a funcionalidade de logout | Manual, Desabilitado | 1.1.0 |
Ações permitidas sem identificação ou autenticação
ID: FedRAMP High AC-14 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desabilitado | 1.1.0 |
Acesso remoto
ID: FedRAMP High AC-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.1-preterido |
| [Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| A API do Azure para FHIR deve usar um link privado | A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. | Audit, desabilitado | 1.0.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| O Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditoria, desabilitado, negação | 1.2.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
Controle/monitoramento automatizado
ID: FedRAMP High AC-17 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.1-preterido |
| [Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| A API do Azure para FHIR deve usar um link privado | A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. | Audit, desabilitado | 1.0.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| O Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditoria, desabilitado, negação | 1.2.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
Proteção da confidencialidade/integridade usando criptografia
ID: FedRAMP High AC-17 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Notificar usuários sobre logon ou acesso ao sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Pontos de controle de acesso gerenciados
ID: FedRAMP High AC-17 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Acesso e comandos com privilégios
ID: FedRAMP High AC-17 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Autorizar acesso remoto a comandos privilegiados | CMA_C1064 – Autorizar acesso remoto a comandos privilegiados | Manual, Desabilitado | 1.1.0 |
| Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Desconectar/desabilitar o acesso
ID: FedRAMP High AC-17 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer a capacidade de desconectar ou desabilitar o acesso remoto | CMA_C1066 – Fornecer a capacidade de desconectar ou desabilitar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Acesso sem fio
ID: FedRAMP High AC-18 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Autenticação e criptografia
ID: FedRAMP High AC-18 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Controle de acesso para dispositivos móveis
ID: FedRAMP High AC-19 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
Criptografia completa baseada em contêiner/dispositivo
ID: FedRAMP High AC-19 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Uso de sistemas de informações externas
ID: FedRAMP High AC-20 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer termos e condições para acessar recursos | CMA_C1076 - Estabelecer termos e condições para acessar recursos | Manual, Desabilitado | 1.1.0 |
| Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desabilitado | 1.1.0 |
Limites do uso autorizado
ID: FedRAMP High AC-20 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar controles de segurança para sistemas de informações externos | CMA_0541 - Verificar controles de segurança para sistemas de informações externos | Manual, Desabilitado | 1.1.0 |
Dispositivos portáteis de armazenamento
ID: FedRAMP High AC-20 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Compartilhamento de informações
ID: FedRAMP High AC-21 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar decisões de compartilhamento de informações | CMA_0028 – Automatizar decisões de compartilhamento de informações | Manual, Desabilitado | 1.1.0 |
| Facilitar o compartilhamento de informações | CMA_0284 – Facilitar o compartilhamento de informações | Manual, Desabilitado | 1.1.0 |
Conteúdo publicamente acessível
ID: FedRAMP High AC-22 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para postar informações publicamente acessíveis | CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis | Manual, Desabilitado | 1.1.0 |
| Revisar conteúdo antes de postar informações publicamente acessíveis | CMA_C1085 – Revisar conteúdo antes de postar informações publicamente acessíveis | Manual, Desabilitado | 1.1.0 |
| Revisar conteúdo publicamente acessível para obter informações não públicas | CMA_C1086 – Revisar conteúdo publicamente acessível para obter informações não públicas | Manual, Desabilitado | 1.1.0 |
| Treinar o pessoal sobre a divulgação de informações não públicas | CMA_C1084 – Treinar o pessoal sobre a divulgação de informações não públicas | Manual, Desabilitado | 1.1.0 |
Reconhecimento e treinamento
Política e Procedimentos de Treinamento e Conscientização de Segurança
ID: FedRAMP High AT-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Treinamento de reconhecimento de segurança
ID: FedRAMP High AT-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento periódico de conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de conscientização de segurança atualizado | CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado | Manual, Desabilitado | 1.1.0 |
Ameaças internas
ID: FedRAMP High AT-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de conscientização de segurança para ameaças internas | CMA_0417 – Fornecer treinamento de conscientização de segurança para ameaças internas | Manual, Desabilitado | 1.1.0 |
Treinamento de segurança baseada em funções
ID: FedRAMP High AT-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança baseada em funções | CMA_C1094 – Fornecer treinamentos de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Exercícios práticos
ID: FedRAMP High AT-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer exercícios práticos baseados em funções | CMA_C1096 – Fornecer exercícios práticos baseados em funções | Manual, Desabilitado | 1.1.0 |
Comunicações suspeitas e comportamento anormal do sistema
ID: FedRAMP High AT-3 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamentos baseados em funções sobre atividades suspeitas | CMA_C1097 – Fornecer treinamentos baseados em funções sobre atividades suspeitas | Manual, Desabilitado | 1.1.0 |
Registros de treinamento de segurança
ID: FedRAMP High AT-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
| Monitorar a conclusão dos treinamentos de segurança e privacidade | CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade | Manual, Desabilitado | 1.1.0 |
| Reter registros de treinamento | CMA_0456 – Reter registros de treinamento | Manual, Desabilitado | 1.1.0 |
Auditoria e contabilidade
Política e procedimentos de auditoria e responsabilidade
ID: FedRAMP High AU-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
| Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Eventos de Auditoria
ID: FedRAMP High AU-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Avaliações e atualizações
ID: FedRAMP High AU-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar os eventos definidos em AU-02 | CMA_C1106 – Revisar e atualizar os eventos definidos em AU-02 | Manual, Desabilitado | 1.1.0 |
Conteúdo de registros de auditoria
ID: FedRAMP High AU-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Informações adicionais de auditoria
ID: FedRAMP High AU-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as funcionalidades da Auditoria do Azure | CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure | Manual, Desabilitado | 1.1.1 |
Capacidade de armazenamento de auditoria
ID: FedRAMP High AU-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
Resposta a Falhas de Processamento de Auditoria
ID: FedRAMP High AU-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
Alertas em tempo real
ID: FedRAMP High AU-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer alertas em tempo real para falhas de eventos de auditoria | CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria | Manual, Desabilitado | 1.1.0 |
Revisão de auditoria, análise e relatórios
ID: FedRAMP High AU-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Integração de processos
ID: FedRAMP High AU-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Correlacionar repositórios de auditoria
ID: FedRAMP High AU-6 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
Revisão e análise centrais
ID: FedRAMP High AU-6 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub IoT devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Funcionalidades de integração, verificação e monitoramento
ID: FedRAMP High AU-6 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| Integrar análise de registro de auditoria | CMA_C1120 – Integrar análise de registro de auditoria | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub IoT devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Ações permitidas
ID: FedRAMP High AU-6 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Especificar ações permitidas associadas às informações de auditoria do cliente | CMA_C1122 – Especificar ações permitidas associadas às informações de auditoria do cliente | Manual, Desabilitado | 1.1.0 |
Ajuste do nível de auditoria
ID: FedRAMP High AU-6 (10) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Ajustar o nível de revisão, análise e relatórios de auditoria | CMA_C1123 – Ajustar o nível de revisão, análise e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
Redução de Auditoria e Geração de Relatórios
ID: FedRAMP High AU-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que registros de auditoria não sejam alterados | CMA_C1125 – Garantir que registros de auditoria não sejam alterados | Manual, Desabilitado | 1.1.0 |
| Fornecer capacidade de revisão, análise e relatório de auditoria | CMA_C1124 – Fornecer capacidade de revisão, análise e relatório de auditoria | Manual, Desabilitado | 1.1.0 |
Processamento automático
ID: FedRAMP High AU-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer capacidade para processar registros de auditoria controlados pelo cliente | CMA_C1126 – Fornecer capacidade para processar registros de auditoria controlados pelo cliente | Manual, Desabilitado | 1.1.0 |
Carimbos de Data/Hora
ID: FedRAMP High AU-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 – Usar relógios do sistema para registros de auditoria | Manual, Desabilitado | 1.1.0 |
Sincronização de fonte de tempo autoritativa
ID: FedRAMP High AU-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar relógios do sistema para registros de auditoria | CMA_0535 – Usar relógios do sistema para registros de auditoria | Manual, Desabilitado | 1.1.0 |
Proteção de Informações de Auditoria
ID: FedRAMP High AU-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Auditoria do backup em componentes/sistemas físicos separados
ID: FedRAMP High AU-9 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer backup de políticas e procedimentos | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP High AU-9 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter a integridade do sistema de auditoria | CMA_C1133 – Manter a integridade do sistema de auditoria | Manual, Desabilitado | 1.1.0 |
Acesso por subconjunto de usuários com privilégios
ID: FedRAMP High AU-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Não recusa
ID: FedRAMP High AU-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer requisitos de certificado e assinatura eletrônica | CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica | Manual, Desabilitado | 1.1.0 |
Retenção de registros de auditoria
ID: FedRAMP High AU-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
| Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 3.0.0 |
Geração de auditoria
ID: FedRAMP High AU-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub IoT devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Trilha de auditoria do sistema/com correlação temporal
ID: FedRAMP High AU-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Compilar registros de auditoria em auditoria de todo o sistema | CMA_C1140 - Compilar registros de auditoria na Auditoria de todo o sistema | Manual, Desabilitado | 1.1.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Hub IoT devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 3.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
| Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Alterações feitas por indivíduos autorizados
ID: FedRAMP High AU-12 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente | CMA_C1141 - Forneça a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente | Manual, Desabilitado | 1.1.0 |
Avaliação da Segurança e Autorização
Procedimentos e políticas de avaliação e autorização de segurança
ID: FedRAMP High RA-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Avaliações de Segurança
ID: FedRAMP High RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
| Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
| Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Auditores independentes
ID: FedRAMP High RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar assessores independentes para realizar avaliações de controle de segurança | CMA_C1148 – Contratar assessores independentes para realizar avaliações de controle de segurança | Manual, Desabilitado | 1.1.0 |
Avaliações especializadas
ID: FedRAMP High RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança | Manual, Desabilitado | 1.1.0 |
Organizações externas
ID: FedRAMP High RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aceitar resultados da avaliação | CMA_C1150 – Aceitar resultados da avaliação | Manual, Desabilitado | 1.1.0 |
Interconexões de Sistema
ID: FedRAMP High RA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir contratos de segurança de interconexão | CMA_C1151 – Exigir contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
| Atualizar contratos de segurança de interconexão | CMA_0519 – Atualizar contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Conexões não classificadas de sistema de segurança não nacional
ID: FedRAMP High CA-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Restrições em conexões de sistema externo
ID: FedRAMP High CA-3 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar restrições nas interligações do sistema externo | CMA_C1155 – Empregar restrições nas interligações do sistema externo | Manual, Desabilitado | 1.1.0 |
Plano de Ação e Etapas
ID: FedRAMP High CA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desabilitado | 1.1.0 |
| Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
Autorização de Segurança
ID: FedRAMP High CA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir um funcionário de autorização (AO) | CMA_C1158 – Atribuir um funcionário de autorização (AO) | Manual, Desabilitado | 1.1.0 |
| Garantir que os recursos sejam autorizados | CMA_C1159 – Garantir que os recursos sejam autorizados | Manual, Desabilitado | 1.1.0 |
| Atualizar a autorização de segurança | CMA_C1160 – Atualizar a autorização de segurança | Manual, Desabilitado | 1.1.0 |
Monitoramento Contínuo
ID: FedRAMP High CA-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar lista de permissões de detecção | CMA_0068 – Configurar lista de permissões de detecção | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Avaliação independente
ID: FedRAMP High CA-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar assessores independentes para monitoramento contínuo | CMA_C1168 – Empregar assessores independentes para monitoramento contínuo | Manual, Desabilitado | 1.1.0 |
Análises de tendências
ID: FedRAMP High CA-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Analisar os dados obtidos do monitoramento contínuo | CMA_C1169 – Analisar os dados obtidos do monitoramento contínuo | Manual, Desabilitado | 1.1.0 |
Agente ou equipe de invasão independente
ID: FedRAMP High CA-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
Conexões de Sistema Interno
ID: FedRAMP High CA-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Gerenciamento de configuração
Procedimentos e política de gerenciamento de configuração
ID: FedRAMP High CM-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar a atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Configuração de Linha de Base
ID: FedRAMP High CM-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Suporte de automação para precisão/moeda
ID: FedRAMP High CM-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Retenção de configurações anteriores
ID: FedRAMP High CM-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Reter versões anteriores de configurações de linha de base | CMA_C1181 – Reter versões anteriores de configurações de linha de base | Manual, Desabilitado | 1.1.0 |
Configurar sistemas, componentes ou dispositivos para áreas de alto risco
ID: FedRAMP High CM-2 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que não sejam necessárias garantias de segurança quando as pessoas retornarem | CMA_C1183 - Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas | Manual, Desabilitado | 1.1.0 |
| Não permitir que os sistemas de informação acompanhem pessoas | CMA_C1182 - Não permitir que os sistemas de informação acompanhem pessoas | Manual, Desabilitado | 1.1.0 |
Controle de Alteração de Configuração
ID: FedRAMP High CM-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Documentação, notificação e proibição automatizadas de alterações
ID: FedRAMP High CM-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
| Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
| Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
| Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
| Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
| Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Testar, validar e documentar alterações
ID: FedRAMP High CM-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Representante de segurança
ID: FedRAMP High CM-3 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir um representante de segurança de informação para o controle de alterações | CMA_C1198 - Atribuir um representante de segurança de informação para o controle de alterações | Manual, Desabilitado | 1.1.0 |
Gerenciamento de criptografia
ID: FedRAMP High CM-3 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração | CMA_C1199 – Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Análise de Impacto de Segurança
ID: FedRAMP High CM-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Separar ambientes de teste
ID: FedRAMP High CM-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
| Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Restrições de Acesso para Alteração
ID: FedRAMP High CM-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Auditoria e aplicação automatizadas de acesso
ID: FedRAMP High CM-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desabilitado | 1.1.0 |
Revisar alterações do sistema
ID: FedRAMP High CM-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Analisar alterações em toda alteração não autorizada | CMA_C1204 – Analisar alterações em toda alteração não autorizada | Manual, Desabilitado | 1.1.0 |
Componentes assinados
ID: FedRAMP High CM-5 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Restringir a instalação não autorizada de software e firmware | CMA_C1205 - Restringir a instalação não autorizada de software e firmware | Manual, Desabilitado | 1.1.0 |
Limitar os privilégios operacionais e de produção
ID: FedRAMP High CM-5 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
| Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Definições de configuração
ID: FedRAMP High CM-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
| Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
| Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.2.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.0.0 |
Gerenciamento/aplicação/verificação centrais automatizados
ID: FedRAMP High CM-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
| Controlar a conformidade de provedores dos serviço de nuvem | CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem | Manual, Desabilitado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
Funcionalidade Mínima
ID: FedRAMP High CM-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
Inventário de Componentes do Sistema de Informação
ID: FedRAMP High CM-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Atualizações durante instalações/remoções
ID: FedRAMP High CM-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
| Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Detecção automatizada de componente não autorizado
ID: FedRAMP High CM-8 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar a detecção de dispositivos de rede | CMA_0220 – Habilitar a detecção de dispositivos de rede | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Informações de responsabilidade
ID: FedRAMP High CM-8 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
Plano de Gerenciamento de Configuração
ID: FedRAMP High CM-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar proteção para o plano de configurações | CMA_C1233 – Criar proteção para o plano de configurações | Manual, Desabilitado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de identificação do item de configuração | CMA_C1231 – Desenvolver um plano de identificação do item de configuração | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de gerenciamento de configuração | CMA_C1232 – Desenvolver um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Restrições de Uso de Software
ID: FedRAMP High CM-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir conformidade com direitos de propriedade intelectual | CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual | Manual, Desabilitado | 1.1.0 |
| Acompanhar o uso de licenças de software | CMA_C1235 – Acompanhar o uso de licenças de software | Manual, Desabilitado | 1.1.0 |
Software livre
ID: FedRAMP High CM-10 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Restringir o uso de softwares de código aberto | CMA_C1237 – Restringir o uso de softwares de código aberto | Manual, Desabilitado | 1.1.0 |
Planejamento de Contingência
Política e procedimentos de planejamento de contingência
ID: FedRAMP High CP-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Plano de contingência
ID: FedRAMP High CP-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Comunicar alterações no plano de contingência | CMA_C1249 - Comunicar alterações no plano de contingência | Manual, Desabilitado | 1.1.0 |
| Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
| Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
| Desenvolver plano de contingência | CMA_C1244 – Desenvolver plano de contingência | Manual, Desabilitado | 1.1.0 |
| Desenvolver procedimentos e políticas de planejamento de contingências | CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências | Manual, Desabilitado | 1.1.0 |
| Distribuir procedimentos e políticas | CMA_0185 - Distribuir procedimentos e políticas | Manual, Desabilitado | 1.1.0 |
| Revisar o plano de contingência | CMA_C1247 – Revisar o plano de contingência | Manual, Desabilitado | 1.1.0 |
| Atualizar o plano de contingência | CMA_C1248 – Atualizar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Coordenar com planos relacionados
ID: FedRAMP High CP-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Planejamento da capacidade
ID: FedRAMP High CP-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar um planejamento de capacidade | CMA_C1252 - Faça um planejamento da capacidade | Manual, Desabilitado | 1.1.0 |
Retomar funções de negócios e missões essenciais
ID: FedRAMP High CP-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Planejar a retomada das funções essenciais do negócio | CMA_C1253 – Planejar a retomada das funções essenciais do negócio | Manual, Desabilitado | 1.1.0 |
Retomar todas as funções de negócios/missões
ID: FedRAMP High CP-2 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Retomar todas as funções da missão e do negócio | CMA_C1254 - Retomar todas as funções da missão e do negócio | Manual, Desabilitado | 1.1.0 |
Continuar funções de negócios/missões essenciais
ID: FedRAMP High CP-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Planejar a continuação de funções de negócios essenciais | CMA_C1255 – Planejar a continuação de funções de negócios essenciais | Manual, Desabilitado | 1.1.0 |
Identificação de ativos essenciais
ID: FedRAMP High CP-2 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo | CMA_0386 – Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo | Manual, Desabilitado | 1.1.0 |
Treinamento de contingência
ID: FedRAMP High CP-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de contingência | CMA_0412 – Fornecer treinamento de contingência | Manual, Desabilitado | 1.1.0 |
Eventos simulados
ID: FedRAMP High CP-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Incorporar treinamento de contingência simulado | CMA_C1260 – Incorporar treinamento de contingência simulado | Manual, Desabilitado | 1.1.0 |
Teste do plano de contingência
ID: FedRAMP High CP-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência | Manual, Desabilitado | 1.1.0 |
| Revisar os resultados do teste do plano de contingência | CMA_C1262 - Revisar os resultados do teste do plano de contingência | Manual, Desabilitado | 1.1.0 |
| Testar o plano de continuidade dos negócios e recuperação de desastres | CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Coordenar com planos relacionados
ID: FedRAMP High CP-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Site de processamento alternativo
ID: FedRAMP High CP-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os recursos do site de processamento alternativo | CMA_C1266 - Avaliar as funcionalidades do site de processamento alternativo | Manual, Desabilitado | 1.1.0 |
| Testar o plano de contingência em um local de processamento alternativo | CMA_C1265 – Testar o plano de contingência em um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Site de armazenamento alternativo
ID: FedRAMP High CP-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário | CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário | Manual, Desabilitado | 1.1.0 |
| Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desabilitado | 1.1.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. | AuditIfNotExists, desabilitado | 2.0.0 |
Separação do site primário
ID: FedRAMP High CP-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar sites de armazenamento alternativos e primários separados | CMA_C1269 - Criar sites de armazenamento alternativos e primários separados | Manual, Desabilitado | 1.1.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. | AuditIfNotExists, desabilitado | 2.0.0 |
Objetivos de tempo/ponto de recuperação
ID: FedRAMP High CP-6 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer site de armazenamento alternativo que facilita operações de recuperação | CMA_C1270 - Estabelecer site de armazenamento alternativo que facilita operações de recuperação | Manual, Desabilitado | 1.1.0 |
Acessibilidade
ID: FedRAMP High CP-6 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar e reduzir possíveis problemas no site de armazenamento alternativo | CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Site de processamento alternativo
ID: FedRAMP High CP-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Separação do site primário
ID: FedRAMP High CP-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Acessibilidade
ID: FedRAMP High CP-7 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Prioridade de serviço
ID: FedRAMP High CP-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para provedores de serviços de Internet | CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet | Manual, Desabilitado | 1.1.0 |
Preparação para uso
ID: FedRAMP High CP-7 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Preparar o local de processamento alternativo para uso como local operacional | CMA_C1278 - Preparar um site de processamento alternativo para uso como site operacional | Manual, Desabilitado | 1.1.0 |
Prioridade de provisionamentos de serviço
ID: FedRAMP High CP-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer requisitos para provedores de serviço de internet | CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet | Manual, Desabilitado | 1.1.0 |
Backup do sistema de informações
ID: FedRAMP High CP-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Estabelecer políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
Armazenamento separado para informações críticas
ID: FedRAMP High CP-9 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Armazenar informações de backup separadamente | CMA_C1293 - Armazenar informações de backup separadamente | Manual, Desabilitado | 1.1.0 |
Transferir para site de armazenamento alternativo
ID: FedRAMP High CP-9 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Transferir informações de cópia de backup para um site de armazenamento alternativo | CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Recuperação e reconstituição do sistema de informações
ID: FedRAMP High CP-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Recuperar e reconstituir recursos após qualquer interrupção | CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desabilitado | 1.1.1 |
Recuperação de transação
ID: FedRAMP High CP-10 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a recuperação baseada em transação | CMA_C1296 - Implementar a recuperação com base na transação | Manual, Desabilitado | 1.1.0 |
Restaurar em um período de tempo
ID: FedRAMP High CP-10 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Restaurar os recursos para o estado operacional | CMA_C1297 – Restaurar recursos para o estado operacional | Manual, Desabilitado | 1.1.1 |
Identificação e autenticação
Política de Identificação e Autenticação e Procedimentos
ID: FedRAMP High IA-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Identificação e autenticação (usuários organizacionais)
ID: FedRAMP High IA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
| Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Acesso à rede para contas com privilégios
ID: FedRAMP High IA-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Acesso à rede para contas sem privilégios
ID: FedRAMP High IA-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Acesso local para contas com privilégios
ID: FedRAMP High IA-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Autenticação de grupo
ID: FedRAMP High IA-2 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir o uso de autenticadores individuais | CMA_C1305 – Exigir o uso de autenticadores individuais | Manual, Desabilitado | 1.1.0 |
Acesso remoto - Dispositivo separado
ID: FedRAMP High IA-2 (11) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Aceitação de credenciais PIV
ID: FedRAMP High IA-2 (12) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Gerenciamento de Identificador
ID: FedRAMP High IA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Atribuir identificadores de sistema | CMA_0018 – Atribuir identificadores de sistema | Manual, Desabilitado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Impedir a reutilização do identificador pelo período de tempo definido | CMA_C1314 – Impedir a reutilização do identificador pelo período de tempo definido | Manual, Desabilitado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Identificar status do usuário
ID: FedRAMP High IA-4 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar o status de usuários individuais | CMA_C1316 – Identificar o status de usuários individuais | Manual, Desabilitado | 1.1.0 |
Gerenciamento de autenticador
ID: FedRAMP High IA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
| A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os certificados devem ter o período máximo de validade especificado | Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.2.1 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
| Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
| As chaves do Key Vault devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Audit, Deny, desabilitado | 1.0.2 |
| Os segredos do Key Vault devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Audit, Deny, desabilitado | 1.0.2 |
| Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
| Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
| Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
| Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Autenticação baseada em senha
ID: FedRAMP High IA-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
| Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Autenticação baseada em PKI
ID: FedRAMP High IA-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Associar autenticadores e identidades dinamicamente | CMA_0035 - Associar dinamicamente autenticadores e identidades | Manual, Desabilitado | 1.1.0 |
| Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
| Estabelecer parâmetros para pesquisar autenticadores secretos e verificadores | CMA_0274 - Estabelecer parâmetros para pesquisa de autenticadores e verificadores secretos | Manual, Desabilitado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
| Mapear identidades autenticadas para indivíduos | CMA_0372 - mapear identidades autenticadas para indivíduos | Manual, Desabilitado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
| Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Registro presencial ou feito por terceiros confiáveis
ID: FedRAMP High IA-5 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Distribuir autenticadores | CMA_0184 – Distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Suporte automatizado para determinação do nível de segurança de senha
ID: FedRAMP High IA-5 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
| Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
Proteção de autenticadores
ID: FedRAMP High IA-5 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que os usuários autorizados protejam os autenticadores fornecidos | CMA_C1339 – Garantir que os usuários autorizados protejam os autenticadores fornecidos | Manual, Desabilitado | 1.1.0 |
Nenhum autenticador estático não criptografado inserido
ID: FedRAMP High IA-5 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que não existam autenticadores estáticos sem criptografia | CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia | Manual, Desabilitado | 1.1.0 |
Autenticação baseada em token de hardware
ID: FedRAMP High IA-5 (11) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atender aos requisitos de qualidade do token | CMA_0487 – Atender aos requisitos de qualidade do token | Manual, Desabilitado | 1.1.0 |
Expiração dos autenticadores em cache
ID: FedRAMP High IA-5 (13) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impor a expiração de autenticadores armazenados em cache | CMA_C1343 – Impor a expiração de autenticadores armazenados em cache | Manual, Desabilitado | 1.1.0 |
Comentários do autenticador
ID: FedRAMP High IA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Informações de feedback desconhecido durante o processo de autenticação | CMA_C1344 – Informações de feedback desconhecido durante o processo de autenticação | Manual, Desabilitado | 1.1.0 |
Autenticação de Módulo Criptográfico
ID: FedRAMP High IA-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
Identificação e Autenticação (usuários não organizacionais)
ID: FedRAMP High IA-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Aceitação de credenciais PIV de outras agências
ID: FedRAMP High IA-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aceitar credenciais PIV | CMA_C1347 – Aceitar credenciais PIV | Manual, Desabilitado | 1.1.0 |
Aceitação de credenciais de terceiros
ID: FedRAMP High IA-8 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aceitar somente credenciais de terceiros aprovadas pelo FICAM | CMA_C1348 – Aceitar somente credenciais de terceiros aprovadas pelo FICAM | Manual, Desabilitado | 1.1.0 |
Uso de produtos aprovados pela Ficam
ID: FedRAMP High IA-8 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar recursos aprovados pelo FICAM para aceitar credenciais de terceiros | CMA_C1349 – Empregar recursos aprovados pelo FICAM para aceitar credenciais de terceiros | Manual, Desabilitado | 1.1.0 |
Uso de perfis emitidos pela Ficam
ID: FedRAMP High IA-8 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estar em conformidade com os perfis emitidos pelo FICAM | CMA_C1350 – Estar em conformidade com os perfis emitidos pelo FICAM | Manual, Desabilitado | 1.1.0 |
Resposta a incidentes
Política e procedimentos de resposta a incidentes
ID: FedRAMP High IR-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Treinamento de resposta a incidentes
ID: FedRAMP High IR-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de vazamento de informações | CMA_0413 – Fornecer treinamento de vazamento de informações | Manual, Desabilitado | 1.1.0 |
Eventos simulados
ID: FedRAMP High IR-2 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Incorporar eventos simulados ao treinamento de resposta a incidentes | CMA_C1356 – Incorporar eventos simulados ao treinamento de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Ambientes de treinamento automatizado
ID: FedRAMP High IR-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aplicar ambiente de treinamento automatizado | CMA_C1357 – Aplicar ambiente de treinamento automatizado | Manual, Desabilitado | 1.1.0 |
Teste de resposta a incidentes
ID: FedRAMP High IR-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar testes de resposta a incidentes | CMA_0060 – Realizar testes de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Executar ataques de simulação | CMA_0486 – Executar ataques de simulação | Manual, Desabilitado | 1.1.0 |
Coordenação com planos relacionados
ID: FedRAMP High IR-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar testes de resposta a incidentes | CMA_0060 – Realizar testes de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Executar ataques de simulação | CMA_0486 – Executar ataques de simulação | Manual, Desabilitado | 1.1.0 |
Tratamento de incidentes
ID: FedRAMP High IR-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
| Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
| Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
| Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Processos automatizados de manipulação de incidentes
ID: FedRAMP High IR-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Reconfiguração dinâmica
ID: FedRAMP High IR-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Inclui reconfiguração dinâmica de recursos implantados pelo cliente | CMA_C1364 - Inclui reconfiguração dinâmica de recursos implantados pelo cliente | Manual, Desabilitado | 1.1.0 |
Continuidade das operações
ID: FedRAMP High IR-4 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar classes de incidentes e ações tomadas | CMA_C1365 – Identificar classes de incidentes e ações tomadas | Manual, Desabilitado | 1.1.0 |
Correlação de informações
ID: FedRAMP High IR-4 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Ameaças internas - Recursos específicos
ID: FedRAMP High IR-4 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a capacidade de tratamento de incidentes | CMA_C1367 – Implementar a capacidade de tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Correlação com organizações externas
ID: FedRAMP High IR-4 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coordenar com organizações externas para obter uma perspectiva entre organizações | CMA_C1368 – Coordenar com organizações externas para obter uma perspectiva entre organizações | Manual, Desabilitado | 1.1.0 |
Monitoramento de incidentes
ID: FedRAMP High IR-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Criação automatizada de relatórios
ID: FedRAMP High IR-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
Assistência de resposta a incidentes
ID: FedRAMP High IR-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
Suporte de automação para disponibilidade de informações/suporte
ID: FedRAMP High IR-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
| Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
| Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Coordenação com provedores externos
ID: FedRAMP High IR-7 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos | CMA_C1376 – Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos | Manual, Desabilitado | 1.1.0 |
| Identificar o pessoal de resposta a incidentes | CMA_0301 – Identificar o pessoal de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Plano de resposta a incidentes
ID: FedRAMP High IR-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
| Manter registros de violação de dados | CMA_0351 – Manter registros de violação de dados | Manual, Desabilitado | 1.1.0 |
| Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Proteger o plano de resposta a incidentes | CMA_0405 – Proteger o plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Resposta ao vazamento de informações
ID: FedRAMP High IR-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
| Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
| Identificar componentes e sistemas não identificados | CMA_0300 - Identificar sistemas e componentes contaminados | Manual, Desabilitado | 1.1.0 |
| Identificar informações despejadas | CMA_0303 - Identificar informações despejadas | Manual, Desabilitado | 1.1.0 |
| Isolar vazamentos de informações | CMA_0346 - Isolar vazamentos de informações | Manual, Desabilitado | 1.1.0 |
Equipe responsável
ID: FedRAMP High IR-9 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar o pessoal de resposta a incidentes | CMA_0301 – Identificar o pessoal de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Treinamento
ID: FedRAMP High IR-9 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de vazamento de informações | CMA_0413 – Fornecer treinamento de vazamento de informações | Manual, Desabilitado | 1.1.0 |
Operações de pós-derramamento
ID: FedRAMP High IR-9 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver procedimentos de resposta de vazamento | CMA_0162 - Desenvolver procedimentos de resposta a despejo | Manual, Desabilitado | 1.1.0 |
Exposição a indivíduos não autorizados
ID: FedRAMP High IR-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Manutenção
Política e procedimentos de manutenção do sistema
ID: FedRAMP High MA-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Manutenção controlada
ID: FedRAMP High MA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Atividades de manutenção automatizada
ID: FedRAMP High MA-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar atividades de manutenção remota | CMA_C1402 - Automatizar atividades de manutenção remota | Manual, Desabilitado | 1.1.0 |
| Produzir registros completos das atividades de manutenção remota | CMA_C1403 - Produzir registros completos das atividades de manutenção remota | Manual, Desabilitado | 1.1.0 |
Ferramentas de manutenção
ID: FedRAMP High MA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Inspecionar ferramentas
ID: FedRAMP High MA-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Inspecionar mídia
ID: FedRAMP High MA-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Impedir a remoção não autorizada
ID: FedRAMP High MA-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Manutenção não local
ID: FedRAMP High MA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Documentar manutenção não local
ID: FedRAMP High MA-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Segurança/limpeza comparável
ID: FedRAMP High MA-4 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar todas as manutenções não locais | CMA_C1417 – Realizar todas as manutenções não locais | Manual, Desabilitado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP High MA-4 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar mecanismos de criptografia | CMA_C1419 – Implementar mecanismos de criptografia | Manual, Desabilitado | 1.1.0 |
Equipe de manutenção
ID: FedRAMP High MA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal para supervisionar as atividades de manutenção não autorizada | CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizada | Manual, Desabilitado | 1.1.0 |
| Manter lista de pessoal de manutenção remota autorizado | CMA_C1420 - Manter lista de pessoal de manutenção remota autorizado | Manual, Desabilitado | 1.1.0 |
| Gerenciar a equipe de manutenção | CMA_C1421 - Gerenciar a equipe de manutenção | Manual, Desabilitado | 1.1.0 |
Indivíduos sem acesso apropriado
ID: FedRAMP High MA-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Manutenção oportuna
ID: FedRAMP High MA-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer suporte de manutenção dentro do prazo | CMA_C1425 - Fornecer suporte de manutenção dentro do prazo | Manual, Desabilitado | 1.1.0 |
Proteção de Mídia
Procedimentos e política de proteção de mídia
ID: FedRAMP High MP-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Acesso à mídia
ID: FedRAMP High CP-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Marcação de mídia
ID: FedRAMP High MP-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Armazenamento de mídia
ID: FedRAMP High MP-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Transporte de dados
ID: FedRAMP High MP-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP High MP-5 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Limpeza de mídia
ID: FedRAMP High MP-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Revisar, aprovar, acompanhar, documentar e verificar
ID: FedRAMP High MP-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Teste de equipamento
ID: FedRAMP High MP-6 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Uso de mídia
ID: FedRAMP High MP-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Restringir uso de mídia | CMA_0450 – Restringir uso de mídia | Manual, Desabilitado | 1.1.0 |
Proibir o uso sem proprietário
ID: FedRAMP High MP-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| Restringir uso de mídia | CMA_0450 – Restringir uso de mídia | Manual, Desabilitado | 1.1.0 |
Proteção física e ambiental
Política e Procedimentos de Proteção Física e Ambiental
ID: FedRAMP High PE-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Autorizações de Acesso Físico
ID: FedRAMP High PE-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Controles de Acesso Físico
ID: FedRAMP High PE-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Controle de Acesso de Média de Transmissão
ID: FedRAMP High PE-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Controle de Acesso para Dispositivos de Saída
ID: FedRAMP High PE-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Alarmes de invasão e equipamentos de vigilância
ID: FedRAMP High PE-6 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
| Gerenciar um sistema de câmera de vigilância seguro | CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro | Manual, Desabilitado | 1.1.0 |
Registros de Acesso de Visitante
ID: FedRAMP High PE-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Iluminação de Emergência
ID: FedRAMP High PE-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar iluminação de emergência automática | CMA_0209 - Usar iluminação de emergência automática | Manual, Desabilitado | 1.1.0 |
Proteção ao Fogo
ID: FedRAMP High PE-13 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Dispositivos/sistemas de detecção
ID: FedRAMP High PE-13 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar uma metodologia de teste de penetração | CMA_0306 – Implementar uma metodologia de teste de penetração | Manual, Desabilitado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Executar ataques de simulação | CMA_0486 – Executar ataques de simulação | Manual, Desabilitado | 1.1.0 |
Dispositivos/sistemas de supressão
ID: FedRAMP High PE-13 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Supressão de incêndio automática
ID: FedRAMP High PE-13 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Controles de Umidade e Temperatura
ID: FedRAMP High PE-14 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Monitoramento com alarmes/notificações
ID: FedRAMP High PE-14 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Proteção contra Danos de Água
ID: FedRAMP High PE-15 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Entrega e Remoção
ID: FedRAMP High PE-16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir requisitos para gerenciar ativos | CMA_0125 - Definir requisitos para gerenciar ativos | Manual, Desabilitado | 1.1.0 |
| Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Site de Trabalho Alternado
ID: FedRAMP High PE-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Local dos componentes do sistema de informações
ID: FedRAMP High PE-18 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Planejamento
Política e procedimentos de planejamento de segurança
ID: FedRAMP High PL-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Plano de segurança do sistema
ID: FedRAMP High PL-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
| Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um SSP que atenda aos critérios | CMA_C1492 – Desenvolver um SSP que atenda aos critérios | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
| Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Planejar/coordenar com outras entidades organizacionais
ID: FedRAMP High PL-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
| Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Regras de comportamento
ID: FedRAMP High PL-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
| Desenvolver política de código da organização | CMA_0159 – Desenvolver política de código de conduta da organização | Manual, Desabilitado | 1.1.0 |
| Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
| Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
| Proibir práticas injustas | CMA_0396 – Proibir práticas injustas | Manual, Desabilitado | 1.1.0 |
| Revisar e assinar regras de comportamento revisadas | CMA_0465 – Revisar e assinar regras de comportamento revisadas | Manual, Desabilitado | 1.1.0 |
| Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Atualizar regras de comportamento e contratos de acesso | CMA_0521 – Atualizar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
| Atualizar regras de comportamento e contratos de acesso a cada três anos | CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos | Manual, Desabilitado | 1.1.0 |
Restrições de rede e mídias sociais
ID: FedRAMP High PL-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Arquitetura de segurança da informação
ID: FedRAMP High PL-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um conceito de operações (CONOPS) | CMA_0141 – Desenvolver um conceito de operações (CONOPS) | Manual, Desabilitado | 1.1.0 |
| Revisar e atualizar a arquitetura de segurança da informação | CMA_C1504 – Revisar e atualizar a arquitetura de segurança da informação | Manual, Desabilitado | 1.1.0 |
Segurança de pessoal
Política e procedimentos de segurança de pessoal
ID: FedRAMP High PS-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Designação de risco de posição
ID: FedRAMP High PS-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir designações de risco | CMA_0016 – Atribuir designações de risco | Manual, Desabilitado | 1.1.0 |
Equipe de triagem
ID: FedRAMP High PS-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desmarcar o pessoal com acesso às informações confidenciais | CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas | Manual, Desabilitado | 1.1.0 |
| Implementar triagem de pessoal | CMA_0322 – Implementar triagem de pessoal | Manual, Desabilitado | 1.1.0 |
| Reexaminar indivíduos em uma frequência definida | CMA_C1512 – Reexaminar indivíduos em uma frequência definida | Manual, Desabilitado | 1.1.0 |
Informações com medidas de proteção especiais
ID: FedRAMP High PS-3 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Encerramento de equipe
ID: FedRAMP High PS-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar entrevista de saída após a rescisão | CMA_0058 – Realizar entrevista de saída após a rescisão | Manual, Desabilitado | 1.1.0 |
| Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
| Notificar após a rescisão ou transferência | CMA_0381 – Notificar após a rescisão ou transferência | Manual, Desabilitado | 1.1.0 |
| Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | Manual, Desabilitado | 1.1.0 |
| Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Notificação automatizada
ID: FedRAMP High PS-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar a notificação de rescisão do funcionário | CMA_C1521 - Automatizar a notificação de rescisão do empregado | Manual, Desabilitado | 1.1.0 |
Transferência de pessoal
ID: FedRAMP High PS-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Iniciar ações de transferência ou reatribuição | CMA_0333 – Iniciar ações de transferência ou reatribuição | Manual, Desabilitado | 1.1.0 |
| Modificar autorizações de acesso após a transferência de pessoal | CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
| Notificar após a rescisão ou transferência | CMA_0381 – Notificar após a rescisão ou transferência | Manual, Desabilitado | 1.1.0 |
| Reavaliar o acesso após a transferência de pessoal | CMA_0424 – Reavaliar o acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Contratos de acesso
ID: FedRAMP High PS-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar contratos de acesso organizacional | CMA_0192 – Documentar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
| Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
| Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | Manual, Desabilitado | 1.1.0 |
| Exigir que os usuários assinem o contrato de acesso | CMA_0440 – Exigir que os usuários assinem o contrato de acesso | Manual, Desabilitado | 1.1.0 |
| Atualizar contratos de acesso organizacional | CMA_0520 – Atualizar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Segurança de pessoal de terceiros
ID: FedRAMP High PE-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar requisitos de segurança de pessoal terceirizado | CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos de segurança de pessoal terceirizado | CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
| Monitorar a conformidade do provedor de terceiros | CMA_C1533 – Monitorar a conformidade do provedor de terceiros | Manual, Desabilitado | 1.1.0 |
| Exigir notificação da transferência ou rescisão de pessoal terceirizado | CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
| Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal | CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Sanções ao pessoal
ID: FedRAMP High PS-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar processo formal de sanções | CMA_0317 – Implementar processo formal de sanções | Manual, Desabilitado | 1.1.0 |
| Notificar o pessoal sobre as sanções | CMA_0380 – Notificar o pessoal sobre sanções | Manual, Desabilitado | 1.1.0 |
Avaliação de risco
Política e procedimentos de avaliação de risco
ID: FedRAMP High RA-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Categorização de segurança
ID: FedRAMP High RA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Categorizar informações | CMA_0052 – Categorizar informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver esquemas de classificação de negócios | CMA_0155 – Desenvolver esquemas de classificação de negócios | Manual, Desabilitado | 1.1.0 |
| Garantir a aprovação da categorização de segurança | CMA_C1540 – Garantir a aprovação da categorização de segurança | Manual, Desabilitado | 1.1.0 |
| Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Avaliação de risco
ID: FedRAMP High RA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar a Avaliação de Risco | CMA_C1543 – Realizar a avaliação de risco | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e distribuir os resultados | CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados | Manual, Desabilitado | 1.1.0 |
| Realizar a avaliação de risco e documentar resultados | CMA_C1542 – Realizar a avaliação de risco e documentar resultados | Manual, Desabilitado | 1.1.0 |
| Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Verificação de vulnerabilidade
ID: FedRAMP High RA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
| A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada em seus workspaces do Azure Synapse | Descubra, acompanhe e corrija potenciais vulnerabilidades configurando verificações de avaliação de vulnerabilidades SQL recorrentes em seus workspaces do Azure Synapse. | AuditIfNotExists, desabilitado | 1.0.0 |
Recurso da ferramenta de atualização
ID: FedRAMP High RA-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Atualizar por frequência/antes de uma nova verificação/quando identificado
ID: FedRAMP High RA-5 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Amplitude/profundidade de cobertura
ID: FedRAMP High RA-5 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Informações identificáveis
ID: FedRAMP High RA-5 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Tomar medidas em resposta às informações do cliente | CMA_C1554 - Tomar medidas em resposta às informações do cliente | Manual, Desabilitado | 1.1.0 |
Acesso privilegiado
ID: FedRAMP High RA-5 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | CMA_C1555 – Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Análise automatizada de tendências
ID: FedRAMP High RA-5 (6) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Observar e relatar vulnerabilidades de segurança | CMA_0384 – Observar e relatar vulnerabilidades de segurança | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Realizar modelagem de ameaças | CMA_0392 – Realizar modelagem de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Analisar logs de auditoria históricos
ID: FedRAMP High RA-5 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
| Correlacionar registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
| Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
| Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
| Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
| Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
| Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
| Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
| Revisar eventos de proteção contra exploração | CMA_0472 – Revisar eventos de proteção contra exploração | Manual, Desabilitado | 1.1.0 |
| Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
| Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Correlacionar informações de verificação
ID: FedRAMP High RA-5 (10) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacionar as informações da verificação de vulnerabilidade | CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade | Manual, Desabilitado | 1.1.1 |
Aquisições do sistema e de serviços
Política e procedimentos de aquisições do sistema e de serviços
ID: FedRAMP High SA-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Alocação de recursos
ID: FedRAMP High SA-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhar os objetivos de negócios e os objetivos de TI | CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI | Manual, Desabilitado | 1.1.0 |
| Alocar recursos para determinar os requisitos do sistema de informações | CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Estabelecer um item de linha discreto na documentação do orçamento | CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
| Controlar a alocação de recursos | CMA_0293 – Controlar a alocação de recursos | Manual, Desabilitado | 1.1.0 |
| Garantir o comprometimento da liderança | CMA_0489 – Garantir o comprometimento da liderança | Manual, Desabilitado | 1.1.0 |
Ciclo de vida de desenvolvimento de sistemas
ID: FedRAMP High SA-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir responsabilidades e funções de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
| Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
| Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Processo de aquisição
ID: FedRAMP High SA-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Propriedades funcionais de controles de segurança
ID: FedRAMP High SA-4 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obter propriedades funcionais de controles de segurança | CMA_C1575 – Obter propriedades funcionais de controles de segurança | Manual, Desabilitado | 1.1.0 |
Informações de design e implementação para controles de segurança
ID: FedRAMP High SA-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obter informações de design e implementação para os controles de segurança | CMA_C1576 – Obter informações de design e implementação para os controles de segurança | Manual, Desabilitado | 1.1.1 |
Planejamento de monitoramento contínuo
ID: FedRAMP High SA-4 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Obter um plano de monitoramento contínuo para controles de segurança | CMA_C1577 – Obter um plano de monitoramento contínuo para controles de segurança | Manual, Desabilitado | 1.1.0 |
Funções, portas, protocolos e serviços em uso
ID: FedRAMP High SA-4 (9) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | CMA_C1578 – Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | Manual, Desabilitado | 1.1.0 |
Uso de produtos PIV aprovados
ID: FedRAMP High SA-4 (10) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar tecnologias aprovadas pelo FIPS 201 para PIV | CMA_C1579 – Empregar tecnologias aprovadas pelo FIPS 201 para PIV | Manual, Desabilitado | 1.1.0 |
Documentação do sistema de informações
ID: FedRAMP High SA-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Distribuir a documentação do sistema de informações | CMA_C1584 - Distribuir a documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Documentar ações definidas pelo cliente | CMA_C1582 - Documentar ações definidas pelo cliente | Manual, Desabilitado | 1.1.0 |
| Obter documentação de administração | CMA_C1580 - Obter documentação de administração | Manual, Desabilitado | 1.1.0 |
| Obter documentação da função de segurança do usuário | CMA_C1581 - Obter documentação da função de segurança do usuário | Manual, Desabilitado | 1.1.0 |
| Proteger documentação do administrador e do usuário | CMA_C1583 - Proteger documentação do administrador e do usuário | Manual, Desabilitado | 1.1.0 |
Serviços do sistema de informações externas
ID: FedRAMP High SA-9 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
| Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
| Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
| Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Avaliações de risco/aprovações organizacionais
ID: FedRAMP High SA-9 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
| Obter aprovações para aquisições e terceirização | CMA_C1590 – Obter aprovações para aquisições e terceirização | Manual, Desabilitado | 1.1.0 |
Identificação de funções, portas, protocolos e serviços
ID: FedRAMP High SA-9 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Identificar provedores de serviços externos | CMA_C1591 – Identificar provedores de serviços externos | Manual, Desabilitado | 1.1.0 |
Interesses consistentes de consumidores e provedores
ID: FedRAMP High SA-9 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes | CMA_C1592 – Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes | Manual, Desabilitado | 1.1.0 |
Processamento, armazenamento e localização de serviço
ID: FedRAMP High SI-9 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Restringir a localização de serviços, armazenamento e processamento de informações | CMA_C1593 – Restringir a localização de serviços, armazenamento e processamento de informações | Manual, Desabilitado | 1.1.0 |
Gerenciamento de configurações do desenvolvedor
ID: FedRAMP High SA-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desabilitado | 1.1.0 |
| Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desabilitado | 1.1.0 |
| Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de desenvolvimento de software seguro | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores implementem somente alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
Verificação de integridade de software e firmware
ID: FedRAMP High SA-10 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
Testes e avaliações de segurança do desenvolvedor
ID: FedRAMP High SA-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Proteção da cadeia suprimentos
ID: FedRAMP High SA-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
| Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
| Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Processo, padrões e ferramentas de desenvolvimento
ID: FedRAMP High SA-15 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar o processo, os padrões e as ferramentas de desenvolvimento | CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento | Manual, Desabilitado | 1.1.0 |
Treinamento disponibilizado pelo desenvolvedor
ID: FedRAMP High SA-16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os desenvolvedores forneçam treinamento | CMA_C1611 – Exigir que os desenvolvedores forneçam treinamento | Manual, Desabilitado | 1.1.0 |
Arquitetura e design de segurança do desenvolvedor
ID: FedRAMP High SA-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | Manual, Desabilitado | 1.1.0 |
| Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | Manual, Desabilitado | 1.1.0 |
Proteção do sistema e das comunicações
Política e procedimentos de proteção do sistema e das comunicações
ID: FedRAMP High SC-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Particionamento do aplicativo
ID: FedRAMP High SC-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
| Separar funcionalidade de gerenciamento de usuário e sistema de informações | CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações | Manual, Desabilitado | 1.1.0 |
| Usar computadores dedicados para tarefas administrativas | CMA_0527 – Usar computadores dedicados para tarefas administrativas | Manual, Desabilitado | 1.1.0 |
Isolamento de função de segurança
ID: FedRAMP High SC-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
Proteção contra negação de serviço
ID: FedRAMP High SC-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| O Firewall do Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| Desenvolver e documentar um plano de resposta de DDoS | CMA_0147 - desenvolver e documentar um plano de resposta de DDoS | Manual, Desabilitado | 1.1.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Disponibilidade de recursos
ID: FedRAMP High SC-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar a alocação de recursos | CMA_0293 – Controlar a alocação de recursos | Manual, Desabilitado | 1.1.0 |
| Gerenciar disponibilidade e capacidade | CMA_0356 – Gerenciar disponibilidade e capacidade | Manual, Desabilitado | 1.1.0 |
| Garantir o comprometimento da liderança | CMA_0489 – Garantir o comprometimento da liderança | Manual, Desabilitado | 1.1.0 |
Proteção de limite
ID: FedRAMP High SC-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.1-preterido |
| [Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| A API do Azure para FHIR deve usar um link privado | A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. | Audit, desabilitado | 1.0.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 3.2.1 |
| Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MariaDB | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores MySQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Pontos de acesso
ID: FedRAMP High SC-7 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os serviços do Azure Cognitive Search devem usar link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, desabilitado | 1.0.1-preterido |
| [Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido | O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 3.1.0 – versão prévia |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
| A API do Azure para FHIR deve usar um link privado | A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. | Audit, desabilitado | 1.0.0 |
| O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado | Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, desabilitado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
| A Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 3.2.1 |
| Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
| Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| O Serviço Azure Web PubSub deve usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Audit, desabilitado | 1.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
| As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
| Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Audit, desabilitado | 1.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MariaDB | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores MySQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
| As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
| As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Serviços externos de telecomunicações
ID: FedRAMP High SC-7 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
Impedir criação de túnel dividido para dispositivos remotos
ID: FedRAMP High SC-7 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Impedir criação de túnel dividido para dispositivos remotos | CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego para os servidores proxy autenticados
ID: FedRAMP High SC-7 (8) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Rotear o tráfego por meio da rede proxy autenticada | CMA_C1633 – Rotear o tráfego por meio da rede proxy autenticada | Manual, Desabilitado | 1.1.0 |
Proteção baseada em host
ID: FedRAMP High SC-7 (12) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Isolamento de ferramentas de segurança, mecanismos e componentes de suporte
ID: FedRAMP High SC-7 (13) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Isolar sistemas SecurID, sistemas de gerenciamento de incidentes de segurança | CMA_C1636 – Isolar sistemas SecurID, sistemas de gerenciamento de incidentes de segurança | Manual, Desabilitado | 1.1.0 |
Falha na segurança
ID: FedRAMP High SC-7 (18) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| Gerenciar transferências entre componentes do sistema ativos e em espera | CMA_0371 - Gerenciar transferências entre componentes do sistema em espera e ativos | Manual, Desabilitado | 1.1.0 |
Divisão/isolamento dinâmicos
ID: FedRAMP High SC-7 (20) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que o sistema seja capaz de isolar dinamicamente os recursos | CMA_C1638 – Garantir que o sistema seja capaz de isolar dinamicamente os recursos | Manual, Desabilitado | 1.1.0 |
Isolamento dos componentes do sistema de informações
ID: FedRAMP High SC-7 (21) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar proteção de limite para isolar sistemas da informação | CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação | Manual, Desabilitado | 1.1.0 |
Confidencialidade e integridade de transmissão
ID: FedRAMP High SC-8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. | Audit, Deny, desabilitado | 1.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
Proteção física criptográfica ou alternativa
ID: FedRAMP High SC-8 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. | Audit, Deny, desabilitado | 1.0.0 |
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
Desconexão da rede
ID: FedRAMP High SC-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autenticar novamente ou encerrar uma sessão de usuário | CMA_0421 – Autenticar novamente ou encerrar uma sessão de usuário | Manual, Desabilitado | 1.1.0 |
Estabelecimento de chave de criptografia e gerenciamento
ID: FedRAMP High SC-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os dados do Serviço de Provisionamento de Dispositivos do Hub IoT devem ser criptografados usando CMKs (chaves gerenciadas pelo cliente) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Serviço de Provisionamento de Dispositivos no Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Audit, Deny, desabilitado | 2.2.0 |
| A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados inativos | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além do padrão um feito com chaves gerenciadas por serviço. | auditar, Auditar, desabilitado, Desabilitado | 1.1.0 |
| As contas da Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso das suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Audit, Deny, desabilitado | 1.0.0 |
| A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta do Lote. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. | Audit, Deny, desabilitado | 1.0.1 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria, desabilitado, negação | 1.0.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box para preparar o dispositivo e copiar dados de maneira automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com a criptografia AES de 256 bits e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada da Microsoft. | Audit, Deny, desabilitado | 1.0.0 |
| A criptografia em repouso do Azure Data Explorer deve usar uma chave gerenciada pelo cliente | A habilitação da criptografia em repouso por meio de uma chave gerenciada pelo cliente no cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso é muitas vezes aplicável a clientes com requisitos de conformidade especiais e exige um Key Vault para gerenciar as chaves. | Audit, Deny, desabilitado | 1.0.0 |
| Os Azure Data Factories devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Audit, Deny, desabilitado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. | Audit, Deny, desabilitado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados inativos | A habilitação da criptografia no host ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
| Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.1.0 |
| Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando desejar armazenar com segurança qualquer ativo de dados privados e de metadados dos seus trabalhos do Stream Analytics na sua conta de armazenamento. Isso dá a você controle total sobre como os seus dados do Stream Analytics são criptografados. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os workspaces do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos workspaces do Azure Synapse. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além da criptografia padrão com chaves gerenciadas pelo serviço. | Audit, Deny, desabilitado | 1.0.0 |
| O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | O Serviço de Bot do Azure criptografa automaticamente o seu recurso para proteger os seus dados e atender aos compromissos de conformidade e segurança da organização. Por padrão, são usadas as chaves de criptografia gerenciadas pela Microsoft. Para obter mais flexibilidade no gerenciamento de chaves ou no controle de acesso à sua assinatura, selecione as chaves gerenciadas pelo cliente, também conhecidas como BYOK (Bring Your Own Key). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
| Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
| Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
| Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Audit, desabilitado | 1.0.0 |
| As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, desabilitado, negação | 2.0.0 |
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
| O Ambiente de Serviço de Integração dos Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente | Faça a implantação no Ambiente de Serviço de Integração para gerenciar a criptografia em repouso de dados de Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Audit, Deny, desabilitado | 1.0.0 |
| Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
| Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Audit, Deny, desabilitado | 1.0.0 |
| Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 3.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os namespaces do Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Barramento de Serviço usará para criptografar dados em seu namespace. Observe que o Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Audit, desabilitado | 1.0.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
Disponibilidade
ID: FedRAMP High SC-12 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter a disponibilidade de informações | CMA_C1644 – Manter a disponibilidade de informações | Manual, Desabilitado | 1.1.0 |
Chaves simétricas
ID: FedRAMP High SC-12 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desabilitado | 1.1.0 |
Chaves assimétricas
ID: FedRAMP High SC-12 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP High SC-13 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Dispositivos de computação colaborativos
ID: FedRAMP High SC-15 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Notificação explícita do uso de dispositivos de computação colaborativa | CMA_C1649 – Notificação explícita do uso de dispositivos de computação colaborativa | Manual, Desabilitado | 1.1.1 |
| Proibir a ativação remota de dispositivos de computação colaborativa | CMA_C1648 – Proibir a ativação remota de dispositivos de computação colaborativa | Manual, Desabilitado | 1.1.0 |
Certificados de infraestrutura de chave pública
ID: FedRAMP High SC-17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
Código móvel
ID: FedRAMP High SC-18 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar, monitorar e controlar o uso de tecnologias de código móvel | CMA_C1653 – Autorizar, monitorar e controlar o uso de tecnologias de código móvel | Manual, Desabilitado | 1.1.0 |
| Definir tecnologias de código móvel aceitáveis e inaceitáveis | CMA_C1651 – Definir tecnologias de código móvel aceitáveis e inaceitáveis | Manual, Desabilitado | 1.1.0 |
| Estabelecer restrições de uso para tecnologias de código móvel | CMA_C1652 – Estabelecer restrições de uso para tecnologias de código móvel | Manual, Desabilitado | 1.1.0 |
Protocolo IP de Voice Over
ID: FedRAMP High SC-19 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar, monitorar e controlar VoIP | CMA_0025 – Autorizar, monitorar e controlar VoIP | Manual, Desabilitado | 1.1.0 |
| Estabelecer restrições de uso de VoIP | CMA_0280 – Estabelecer restrições de uso do VoIP | Manual, Desabilitado | 1.1.0 |
Serviço de resolução de nome/endereço seguro (fonte autoritativa)
ID: FedRAMP High SC-20 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
| Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Serviço de resolução de nome/endereço seguro (Resolvedor recursivo ou de cache)
ID: FedRAMP High SC-21 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
Arquitetura e provisionamento para serviço de resolução de nome/endereço
ID: FedRAMP High SC-22 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Autenticidade de sessão
ID: FedRAMP High SC-23 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
| Impor identificadores de sessão exclusivos aleatórios | CMA_0247 – Forçar identificadores de sessão exclusivos e aleatórios | Manual, Desabilitado | 1.1.0 |
Invalidar identificadores de sessão no logoff
ID: FedRAMP High SC-23 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Invalidar identificadores de sessão no logoff | CMA_C1661 - invalidar identificadores de sessão ao fazer logoff | Manual, Desabilitado | 1.1.0 |
Falha no estado conhecido
ID: FedRAMP High SC-24 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Proteção de informações em repouso
ID: FedRAMP High SC-28 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. | Audit, Deny, desabilitado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 2.0.0 |
| Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. | Audit, Deny, desabilitado | 1.0.0 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 | Audit, Deny, desabilitado | 1.0.0 |
| Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
Proteção criptográfica
ID: FedRAMP High SC-28 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. | Audit, Deny, desabilitado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. | Audit, Deny, desabilitado | 2.0.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. | Audit, Deny, desabilitado | 1.0.0 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 | Audit, Deny, desabilitado | 1.0.0 |
| Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
| A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
Isolamento do processo
ID: FedRAMP High SC-39 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter domínios de execução separados para executar processos | CMA_C1665 – Manter domínios de execução separados para executar processos | Manual, Desabilitado | 1.1.0 |
Integridade do sistema e das informações
Política e procedimentos de integridade do sistema e das informações
ID: FedRAMP High SI-1 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Correção de falhas
ID: FedRAMP High SI-2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Status da correção automática de falhas
ID: FedRAMP High SI-2 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatizar a correção de falhas | CMA_0027 – Automatizar a correção de falhas | Manual, Desabilitado | 1.1.0 |
| Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Tempo para corrigir falhas/parâmetro de comparação para ações corretivas
ID: FedRAMP High SI-2 (3) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer parâmetros de comparação para correção de falhas | CMA_C1675 – Estabelecer parâmetros de comparação para correção de falhas | Manual, Desabilitado | 1.1.0 |
| Medir o tempo entre a identificação e a correção das falhas | CMA_C1674 – Medir o tempo entre a identificação e a correção das falhas | Manual, Desabilitado | 1.1.0 |
Proteção contra código mal-intencionado
ID: FedRAMP High SI-3 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
Gerenciamento central
ID: FedRAMP High SI-3 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
Atualizações Automáticas
ID: FedRAMP High SI-3 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Detecção baseada em não assinatura
ID: FedRAMP High SI-3 (7) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
| Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Monitoramento do sistema de informações
ID: FedRAMP High SI-4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
| O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Obter opinião jurídica para monitorar atividades do sistema | CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema | Manual, Desabilitado | 1.1.0 |
| Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
| Fornecer informações de monitoramento conforme o necessário | CMA_C1689 – Fornecer informações de monitoramento conforme o necessário | Manual, Desabilitado | 1.1.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Ferramentas automatizadas para análise em tempo real
ID: FedRAMP High SI-4 (2) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
| Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
Tráfego de comunicações de entrada e saída
ID: FedRAMP High SI-4 (4) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar, monitorar e controlar VoIP | CMA_0025 – Autorizar, monitorar e controlar VoIP | Manual, Desabilitado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
| Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
| Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Alertas gerados pelo sistema
ID: FedRAMP High SI-4 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Detecção de intrusões sem fio
ID: FedRAMP High SI-4 (14) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar controles de segurança de acesso sem fio | CMA_C1695 – Documentar controles de segurança de acesso sem fio | Manual, Desabilitado | 1.1.0 |
Serviços de rede não autorizados
ID: FedRAMP High SI-4 (22) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Detectar serviços de rede que não foram autorizados nem aprovados | CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados | Manual, Desabilitado | 1.1.0 |
Indicadores de comprometimento
ID: FedRAMP High SI-4 (24) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Descobrir os indicadores de comprometimento | CMA_C1702 – Descobrir os indicadores de comprometimento | Manual, Desabilitado | 1.1.0 |
Alertas, avisos e diretivas de segurança
ID: FedRAMP High SI-5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Divulgar alertas de segurança para o pessoal | CMA_C1705 – Divulgar alertas de segurança para o pessoal | Manual, Desabilitado | 1.1.0 |
| Estabelecer um programa de inteligência contra ameaças | CMA_0260 – Estabelecer um programa de inteligência contra ameaças | Manual, Desabilitado | 1.1.0 |
| Gerar alertas de segurança internos | CMA_C1704 – Gerar alertas de segurança internos | Manual, Desabilitado | 1.1.0 |
| Implementar diretivas de segurança | CMA_C1706 – Implementar diretivas de segurança | Manual, Desabilitado | 1.1.0 |
Alertas e comunicados automatizados
ID: FedRAMP High SI-5 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Usar mecanismos automatizados de alertas de segurança | CMA_C1707 – Usar mecanismos automatizados de alertas de segurança | Manual, Desabilitado | 1.1.0 |
Verificação de função de segurança
ID: FedRAMP High SI-6 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar ações alternativas para anomalias identificadas | CMA_C1711 – Criar ações alternativas para anomalias identificadas | Manual, Desabilitado | 1.1.0 |
| Notificar pessoal sobre testes de verificação de segurança com falha | CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha | Manual, Desabilitado | 1.1.0 |
| Executar a verificação da função de segurança em uma frequência definida | CMA_C1709 – Executar verificação de função de segurança em uma frequência definida | Manual, Desabilitado | 1.1.0 |
| Verificar funções de segurança | CMA_C1708 – Verificar funções de segurança | Manual, Desabilitado | 1.1.0 |
Integridade de software, firmware e informações
ID: FedRAMP High SI-7 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
Verificações de integridade
ID: FedRAMP High SI-7 (1) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
Resposta automatizada a violações de integridade
ID: FedRAMP High SI-7 (5) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar desligamento/reinicialização automática quando forem detectadas violações | CMA_C1715 – Empregar desligamento/reinicialização automática quando forem detectadas violações | Manual, Desabilitado | 1.1.0 |
Código binário ou executável por máquina
ID: FedRAMP High SI-7 (14) Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Proibir código binário/executável por computador | CMA_C1717 – Proibir código binário/executável por computador | Manual, Desabilitado | 1.1.0 |
Validação de entrada de informações
ID: FedRAMP High SI-10 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar validação de entrada de informações | CMA_C1723 – Executar validação de entrada de informações | Manual, Desabilitado | 1.1.0 |
Tratamento de erros
ID: FedRAMP High SI-11 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Gerar mensagens de erro | CMA_C1724 – Gerar mensagens de erro | Manual, Desabilitado | 1.1.0 |
| Revelar mensagens de erro | CMA_C1725 - Revelar mensagens de erro | Manual, Desabilitado | 1.1.0 |
Manipulação e retenção de informações
ID: FedRAMP High SI-12 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
| Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
| Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Proteção de memória
ID: FedRAMP High SI-16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.