Padrões de conformidade regulatória no Microsoft Defender for Cloud
O Microsoft Defender for Cloud simplifica o processo de conformidade regulamentar, ajudando-o a identificar problemas que o impedem de cumprir uma norma de conformidade específica ou de obter uma certificação de conformidade.
Os padrões do setor, os padrões regulatórios e as referências são representados no Defender for Cloud como padrões de segurança e aparecem no painel de conformidade regulamentar.
Controlos de conformidade
Cada padrão de segurança consiste em vários controles de conformidade, que são grupos lógicos de recomendações de segurança relacionadas.
O Defender for Cloud avalia continuamente o ambiente no escopo em relação a quaisquer controles de conformidade que possam ser avaliados automaticamente. Com base em avaliações, mostra os recursos como estando ou não em conformidade com os controlos.
Nota
É importante observar que, se os padrões tiverem controles de conformidade que não podem ser avaliados automaticamente, o Defender for Cloud não poderá decidir se um recurso está em conformidade com o controle. Nesse caso, o controle será exibido como acinzentado.
Visualizando padrões de conformidade
O painel de conformidade regulatória fornece uma visão geral interativa do estado de conformidade.
No painel você pode:
- Obtenha um resumo dos controles de padrões que foram aprovados.
- Obtenha um resumo das normas que têm a menor taxa de aprovação de recursos.
- Analise os padrões aplicados dentro do escopo selecionado.
- Revisar avaliações para controles de conformidade dentro de cada norma aplicada.
- Obtenha um relatório resumido para um padrão específico.
- Gerencie as políticas de conformidade para ver os padrões atribuídos a um escopo específico.
- Executar uma consulta para criar um relatório de conformidade personalizado
- Crie uma "pasta de trabalho de conformidade ao longo do tempo" para acompanhar o status de conformidade ao longo do tempo.
- Faça o download dos relatórios de auditoria.
- Analise as ofertas de conformidade para auditorias da Microsoft e de terceiros.
Detalhes da norma de conformidade
Para cada padrão de conformidade, você pode visualizar:
- Âmbito de aplicação da norma.
- Cada norma é dividida em grupos de controlos e subcontrolos.
- Ao aplicar um padrão a um escopo, você pode ver um resumo da avaliação de conformidade para recursos dentro do escopo, para cada controle padrão.
- O status das avaliações reflete a conformidade com a norma. Existem três Estados:
- Um círculo verde indica que os recursos no escopo são compatíveis com o controle.
- Um círculo vermelho indica que os recursos não são compatíveis com o controle.
- Os controles indisponíveis são aqueles que não podem ser avaliados automaticamente e, portanto, o Defender for Cloud não consegue acessar se os recursos estão em conformidade.
Você pode detalhar os controles para obter informações sobre recursos que foram aprovados/reprovados nas avaliações e para as etapas de correção.
Padrões de conformidade padrão
Por padrão, quando você ativa o Defender for Cloud, os seguintes padrões são ativados:
- Para o Azure: Microsoft Cloud Security Benchmark (MCSB).
- Para AWS: Microsoft Cloud Security Benchmark (MCSB) e padrão AWS Foundational Security Best Practices.
- Para GCP: Microsoft Cloud Security Benchmark (MCSB) e GCP Default.
Normas de conformidade disponíveis
Os seguintes padrões estão disponíveis no Defender for Cloud:
| Padrões para assinaturas do Azure | Padrões para contas da AWS | Normas para projetos GCP |
|---|---|---|
| Governo australiano protegido pelo ISM | Melhores práticas de segurança da AWS Foundational | Lei Geral de Proteção de Dados Pessoais (LGPD) |
| Canada Federal PBMM | Estrutura bem arquitetada da AWS | Lei de Privacidade do Consumidor da Califórnia (CCPA) |
| Fundamentos do Azure CIS | Lei Geral de Proteção de Dados Pessoais (LGPD) | Controlos CIS |
| Serviço de Kubernetes do Azure CIS (AKS Benchmark) | Lei de Privacidade do Consumidor da Califórnia (CCPA) | Fundamentos do CIS GCP |
| CMMC | CIS Amazon Elastic Kubernetes Service (EKS) Benchmark | Benchmark da Fundação CIS Google Cloud Platform |
| FedRAMP 'H' & 'M' | Fundamentos da AWS do CIS | CIS Google Kubernetes Engine (GKE) Benchmark |
| HIPAA/HITRUST | Perfil CRI | Perfil CRI |
| ISO/IEC 27001 | Matriz de controles de nuvem CSA (CCM) | Matriz de controles de nuvem CSA (CCM) |
| Nova Zelândia ISM Restrito | GDPR | Certificação do Modelo de Maturidade em Cibersegurança (CMMC) |
| NIST SP 800-171 | ISO/IEC 27001 | Ferramenta de Avaliação de Cibersegurança da FFIEC (CAT) |
| NIST SP 800-53 | ISO/IEC 27002 | GDPR |
| PCI DSS | Estrutura de Cibersegurança do NIST (CSF) | ISO/IEC 27001 |
| RMIT Malásia | NIST SP 800-172 | ISO/IEC 27002 |
| SOC 2 | PCI DSS | ISO/IEC 27017 |
| Espanhol ENS | Estrutura de Cibersegurança do NIST (CSF) | |
| SWIFT CSP CSCF | NIST SP 800-53 | |
| UK OFFICIAL e UK NHS | NIST SP 800-171 | |
| NIST SP 800-172 | ||
| PCI DSS | ||
| Lei Sarbanes Oxley (SOX) | ||
| SOC 2 |