Linha de base de segurança do Azure para Azure DevTest Labs
Esta linha de base de segurança aplica orientações da versão 1.0 da referência de segurança da cloud da Microsoft ao Azure DevTest Labs. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis aos Azure DevTest Labs.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis a Azure DevTest Labs foram excluídas. Para ver como Azure DevTest Labs mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Azure DevTest Labs.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Azure DevTest Labs, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Computação, Ferramentas de Programação, Integração |
| O cliente pode aceder ao HOST/SO | Acesso Total |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Falso |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Configurar uma rede virtual para o DevTest Labs
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o acesso à rede pública através da regra de filtragem da ACL de IP ao nível do serviço ou de um comutador de alternância para acesso à rede pública.
Referência: Criar Laboratórios de DevTest isolados de rede
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure DevTest Labs suporta identidades geridas para os respetivos recursos do Azure, bem como a gestão de segredos através do cofre de chaves. O DevTest Labs pode utilizar nativamente Azure AD autenticação para os serviços e recursos do Azure que a suportam. Isto é suportado no portal do Azure, através dos SDKs ou da nossa API REST, quando o utilizador interage ou cria um DevTest Lab ou qualquer um dos recursos suportados num Laboratório.
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Azure DevTest Labs API REST
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidade: a autenticação predefinida para VMs é a autenticação local (RDP/SSH). Evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: apesar de não fornecermos um Plano de Dados para o nosso serviço, os nossos recursos suportam Identidades Geridas.
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Ativar identidades geridas atribuídas pelo utilizador em máquinas virtuais de laboratório no DevTest Labs
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores podem configurar os principais de serviço por si próprios para aceder aos recursos de laboratório.
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure DevTest Labs permite aos utilizadores gerir e implementar máquinas virtuais do Azure nas suas próprias subscrições e essas máquinas virtuais podem suportar o Acesso Condicional, se necessário, consoante o cenário do cliente.
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os segredos do DevTest Lab são armazenados em segurança numa Key Vault do Azure na subscrição do cliente. Isto é utilizado pelo nosso Serviço para interagir com quaisquer recursos do Azure no Laboratório.
Pode ativar identidades geridas nas máquinas virtuais do Laboratório, bem como autenticar-se em recursos no contexto de um Laboratório.
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: os utilizadores de máquinas de laboratório podem ser Administração locais de VMs.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure DevTest Labs integrou o suporte RBAC do Azure para todos os nossos recursos através das funções incorporadas.
Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. As funções RBAC do Azure podem ser atribuídas a utilizadores, grupos, principais de serviço e identidades geridas.
Referência: Utilizadores do DevTest Labs
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Compreender a encriptação no cenário de trânsito para o DevTest Labs
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: no DevTest Labs, todos os discos de SO e discos de dados criados como parte de um laboratório são encriptados com chaves geridas pela plataforma.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: armazenar segredos num cofre de chaves no Azure DevTest Labs
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure DevTest Labs permite aos utilizadores gerir e implementar máquinas virtuais do Azure nas suas próprias subscrições e essas máquinas virtuais podem suportar a gestão de certificados numa Key Vault do Azure, se necessário, consoante o cenário do cliente.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: as Políticas do Azure são suportadas e podem ser configuradas para os recursos que o nosso serviço cria, mas não existe uma configuração explícita de políticas de segurança do nosso Serviço.
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
AM-5: Utilizar apenas aplicações aprovadas na máquina virtual
Funcionalidades
Microsoft Defender para a Cloud – Controlos de Aplicação Adaptáveis
Descrição: o serviço pode limitar o que as aplicações de cliente executam na máquina virtual através de Controlos de Aplicação Adaptáveis no Microsoft Defender para a Cloud. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para controlos de aplicações adaptáveis da Cloud para detetar aplicações em execução em máquinas virtuais (VMs) e gerar uma lista de permissões de aplicações para ordenar as aplicações aprovadas que podem ser executadas no ambiente da VM.
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Postura e gestão de vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: Automatização do Azure State Configuration podem ser utilizadas para manter a configuração de segurança do sistema operativo. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores não têm acesso à VM do anfitrião do Serviço DevTest Labs, mas o nosso serviço permite que os utilizadores giram e implementem Máquinas Virtuais do Azure nas suas próprias subscrições e o DSC (Desired State Configuration) aplica-se a essas máquinas.
Orientação de Configuração: utilize Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo.
Agente de Configuração de Convidado do Azure Policy
Descrição: Azure Policy agente de configuração de convidado pode ser instalado ou implementado como uma extensão para recursos de computação. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores não têm acesso à VM do anfitrião do Serviço DevTest Labs, mas o nosso serviço permite que os utilizadores giram e implementem Máquinas Virtuais do Azure nas suas próprias subscrições e Azure Policy Agente de Configuração de Convidado aplica-se a essas máquinas.
Orientação de Configuração: utilize Microsoft Defender para a Cloud e Azure Policy agente de configuração convidado para avaliar e remediar regularmente desvios de configuração nos recursos de computação do Azure, incluindo VMs, contentores e outros.
Imagens de VM Personalizadas
Descrição: o serviço suporta a utilização de imagens de VM fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Configurar definições de imagem de Azure Marketplace no Azure DevTest Labs
PV-5: Realizar avaliações de vulnerabilidades
Funcionalidades
Avaliação de Vulnerabilidades com Microsoft Defender
Descrição: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou outra capacidade de avaliação de vulnerabilidade incorporada de serviços Microsoft Defender (incluindo Microsoft Defender para servidor, registo de contentor Serviço de Aplicações, SQL e DNS). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: ao criar um DevTest Labs, podem existir recursos de computação subjacentes como parte do laboratório. Existem ferramentas para avaliações de vulnerabilidades, externas ao nosso serviço, que podem ser utilizadas nesses recursos.
Orientação de Configuração: siga as recomendações do Microsoft Defender para a Cloud para realizar avaliações de vulnerabilidades nas máquinas virtuais do Azure, imagens de contentor e servidores SQL.
PV-6: remediar vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: o serviço pode utilizar Automatização do Azure Gestão de Atualizações para implementar correções e atualizações automaticamente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores não têm acesso à VM do anfitrião do Serviço DevTest Labs, mas o nosso serviço permite que os utilizadores giram e implementem Máquinas Virtuais do Azure nas suas próprias subscrições e a Gestão de Atualizações de Automatização pode ser gerida de forma independente para esses computadores.
Orientação de Configuração: utilize a Gestão de Atualizações do Automatização do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes estão instaladas nas VMs do Windows e do Linux. Para VMs do Windows, certifique-se de Windows Update foi ativado e definido para atualizar automaticamente.
Endpoint security (Segurança de pontos finais)
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de pontos finais.
ES-2: Utilizar software antimalware moderno
Funcionalidades
Solução Antimalware
Descrição: a funcionalidade antimalware, como o Antivírus Microsoft Defender, Microsoft Defender para Endpoint pode ser implementada no ponto final. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores não têm acesso à VM do anfitrião do Serviço DevTest Labs, mas o nosso serviço permite que os utilizadores giram e implementem Máquinas Virtuais do Azure nas suas próprias subscrições e é vivamente recomendado utilizar uma solução Antimalware nesses computadores.
Orientação de Configuração: para Windows Server 2016 e superiores, o Microsoft Defender para Antivírus está instalado por predefinição. Para o Windows Server 2012 R2 e superior, os clientes podem instalar o SCEP (System Center Endpoint Protection). Para Linux, os clientes podem optar por instalar Microsoft Defender para Linux. Em alternativa, os clientes também têm a opção de instalar produtos antimalware de terceiros.
ES-3: Garantir que o software antimalware e as assinaturas são atualizados
Funcionalidades
Monitorização do Estado de Funcionamento da Solução Antimalware
Descrição: a solução antimalware fornece monitorização do estado de funcionamento para atualizações automáticas de plataformas, motores e assinaturas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os utilizadores não têm acesso à VM do anfitrião do Serviço DevTest Labs, mas o nosso serviço permite que os utilizadores giram e implementem Máquinas Virtuais do Azure nas suas próprias subscrições e é vivamente recomendado utilizar uma Monitorização do Estado de Funcionamento da Solução Antimalware para essas máquinas.
Orientação de Configuração: configure a sua solução antimalware para garantir que a plataforma, o motor e as assinaturas são atualizados de forma rápida e consistente e que o respetivo estado pode ser monitorizado.
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure DevTest Labs não fornecem explicitamente suporte para Azure Backup, mas podem ser configuradas pelo cliente para as VMs de Computação implementadas pelo nosso serviço.
Orientação de Configuração: ative Azure Backup e configure a origem da cópia de segurança (como o Azure Máquinas Virtuais, SQL Server, bases de dados HANA ou Partilhas de Ficheiros) numa frequência pretendida e com um período de retenção pretendido. Para o Azure Máquinas Virtuais, pode utilizar Azure Policy para ativar as cópias de segurança automáticas.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure