Postura de segurança para Microsoft Defender para Nuvem

Visão geral da classificação de segurança

O Microsoft Defender para Nuvem tem duas metas principais:

  • ajudar você a entender sua situação de segurança atual
  • ajudar você a aprimorar sua segurança de maneira eficiente e eficaz

O recurso central do Defender para Nuvem que permite alcançar essas metas é a classificação de segurança.

O Defender para Nuvem avalia continuamente seus recursos, entre nuvens para problemas de segurança. Em seguida, ele agrega todas as conclusões em uma única pontuação para que você possa ver, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.

  • Nas páginas do portal do Azure, a classificação de segurança aparece como um valor percentual e os valores subjacentes também são apresentados claramente:

    Overall secure score as shown in the portal.

  • No aplicativo móvel do Azure, a classificação de segurança é mostrada como um valor percentual, e você pode tocar nela para ver os detalhes que a explicam:

    Overall secure score as shown in the Azure mobile app.

Para aumentar a segurança, revise a página de recomendações do Defender para Nuvem e corrija a recomendação implementando as instruções de correção para cada problema. As recomendações são agrupadas em controles de segurança. Cada controle é um grupo lógico de recomendações de segurança relacionadas e reflete as superfícies de ataque vulneráveis. Sua pontuação só melhora quando você corrige todas as recomendações para um único recurso dentro de um controle. Para ver como a sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança.

Para obter mais informações, confira Como a classificação de segurança é calculada abaixo.

Gerenciar sua postura de segurança

Na página Postura de segurança, você pode ver a pontuação de segurança de toda a sua assinatura e cada ambiente em sua assinatura. Por padrão, todos os ambientes são mostrados.

Screenshot of the security posture page.

Seção da página Descrição
Screenshot showing the different environment options. Selecione seu ambiente para ver sua pontuação segura e detalhes. Vários ambientes podem ser selecionados ao mesmo tempo. A página será mudada com base em sua seleção aqui.
Screenshot of the environment section of the security posture page. Mostra o número total de assinaturas, contas e projetos que afetam sua pontuação geral. Ele também mostra quantos recursos não íntegros e quantas recomendações existem em seus ambientes.

A metade inferior da página permite que você veja e gerencie todas as suas assinaturas, contas e projetos individuais exibindo suas pontuações seguras individuais, o número de recursos não íntegros privados e até mesmo exibir suas recomendações.

É possível agrupar esta seção por ambiente selecionando a caixa de seleção Agrupar por Ambiente.

Screenshot of the bottom half of the security posture page.

Como a classificação de segurança é calculada

A contribuição de cada controle de segurança para a classificação de segurança geral é mostrada na página de recomendações.

Microsoft Defender for Cloud's security controls and their impact on your secure score

Para obter todos os pontos possíveis para um controle de segurança, todos os seus recursos devem estar em conformidade com todas as recomendações de segurança no controle de segurança. Por exemplo, o Defender para Nuvem tem várias recomendações sobre como proteger suas portas de gerenciamento. Você precisará corrigir todas elas para que façam uma diferença na sua classificação de segurança.

Pontuações de exemplo para um controle

Screenshot showing how to apply system updates security control.

Neste exemplo:

  • Corrigir vulnerabilidades de controle de segurança - esse controle agrupa várias recomendações relacionadas à descoberta e à resolução de vulnerabilidades conhecidas.

  • Pontuação máxima -

O número máximo de pontos que você pode obter ao concluir todas as recomendações em um controle. A pontuação máxima de um controle indica o significado relativo desse controle e é fixo para cada ambiente. Use os valores máximos de pontuação para fazer a triagem dos problemas a serem resolvidos primeiro.
Para obter uma lista de todos os controles e suas pontuações máximas, consulte Controles de segurança e suas recomendações.

  • Pontuação atual -

    A pontuação atual para este controle.
    Pontuação atual=[Pontuação por recurso]*[Número de recursos íntegros].

    Cada controle contribui para a pontuação total. Neste exemplo, o controle está contribuindo com 2,00 pontos para a pontuação total segura atual.

  • Possível aumento de pontuação -

    Os pontos restantes disponíveis para você dentro do controle. Se você corrigir todas as recomendações neste controle, sua pontuação aumentará em até 9%.

    Por exemplo, Aumento de pontuação potencial=[Pontuação por recurso]*[Número de recursos não íntegro privados] ou 0,1714 x 30 recursos não íntegro privados = 5,14.

  • Insights -

    Fornece detalhes adicionais para cada recomendação. Que podem estar:

    • Visualizar recomendação - essa recomendação não afetará sua pontuação segura até que seja GA.

    • Corrigir - de dentro da página de detalhes de recomendação, você pode usar 'Corrigir' para resolver esse problema.

    • Aplicar - de dentro da página de detalhes de recomendação, você pode implantar uma política automaticamente para corrigir esse problema sempre que alguém cria um recurso não compatível.

    • Negar - de dentro da página de detalhes de recomendação, você pode impedir que novos recursos sejam criados com esse problema.

Cálculos - noções básicas sobre sua pontuação

Métrica Fórmula e exemplo
Pontuação atual do controle de segurança
Equation for calculating a security control's score.

Cada controle de segurança individual contribui para a pontuação de segurança. Cada recurso afetado por uma recomendação dentro do controle contribui para a pontuação atual do controle. A pontuação atual de cada controle é uma medida do status dos recursos no controle.
Tooltips showing the values used when calculating the security control's current score
Neste exemplo, a pontuação máxima de 6 seria dividida por 78 porque essa é a soma dos recursos íntegros e não íntegros.
6 / 78 = 0,0769
Multiplicar isso pelo número de recursos íntegros (4) resulta na pontuação atual:
0,0769 * 4 = 0,31

Pontuação segura
Assinatura única ou conector

Equation for calculating a subscription's secure score

Single subscription secure score with all controls enabled
Neste exemplo, há uma assinatura única ou conector com todos os controles de segurança disponíveis (uma pontuação máxima potencial de 60 pontos). A pontuação mostra 28 pontos de um possível 60 e os 32 pontos restantes são refletidos nas figuras de "Aumento da pontuação potencial" dos controles de segurança.
List of controls and the potential score increase
Essa equação é a mesma equação para um conector com apenas a palavra assinatura que está sendo substituída pela palavra conector.
Pontuação segura
Várias assinaturas e conectores

Equation for calculating the secure score for multiple subscriptions.

Ao calcular a pontuação combinada de várias assinaturas e conectores, o Defender para Nuvem inclui um peso para cada assinatura e conectores. Os pesos relativos das suas assinaturas e conectores são determinados pelo Defender para Nuvem com base em fatores como o número de recursos.
A pontuação atual, para cada assinatura, um conector DN é calculado da mesma forma que para uma única assinatura ou conector, mas o peso é aplicado conforme mostrado na equação.
Na visualização de várias assinaturas e conectores, a pontuação segura avalia todos os recursos em todas as políticas habilitadas e agrupa seu impacto combinado na pontuação máxima de cada controle de segurança.
Secure score for multiple subscriptions with all controls enabled
A pontuação combinada não é uma média; em vez disso, é a postura avaliada do status de todos os recursos em todas as assinaturas e conectores.

Também neste caso, se você acessar a página de recomendações e adicionar os pontos potenciais disponíveis, verá que é a diferença entre a pontuação atual (22) e a pontuação máxima disponível (58).

Quais recomendações estão incluídas nos cálculos de classificação de segurança?

Somente as recomendações internas têm um impacto na pontuação segura.

As recomendações sinalizadas como Versão Prévia não estão incluídas nos cálculos da sua classificação de segurança. Elas ainda deverão ser corrigidas sempre que possível, para que, quando o período de versão prévia terminar, elas contribuam para a sua classificação.

Um exemplo de recomendação de versão prévia:

Recommendation with the preview flag.

Melhorar sua pontuação segura

Para melhorar sua pontuação segura, corrija as recomendações de segurança da sua lista de recomendações. Você pode corrigir cada recomendação manualmente para cada recurso ou pode usar a opção Corrigir (quando disponível) para resolver um problema em vários recursos rapidamente. Para obter mais informações, consulte Recomendações de correção.

Você também pode configurar as opções Impor e Negar nas recomendações relevantes para aprimorar sua classificação e garantir que os usuários não criem recursos que a prejudiquem. Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar.

Controles de segurança e suas recomendações

A tabela a seguir lista os controles de segurança no Microsoft Defender para Nuvem. Para cada controle, é possível ver o número máximo de pontos que você poderá adicionar à sua pontuação segura se corrigir todas as recomendações listadas no controle, para todos os seus recursos.

O conjunto de recomendações de segurança fornecido com o Defender para Nuvem é adaptado aos recursos disponíveis no ambiente de cada organização. Você pode desabilitar políticas e isentar recursos específicos de uma recomendação para personalizar ainda mais as recomendações.

Recomendamos que cada organização examine cuidadosamente as respectivas iniciativas do Azure Policy.

Dica

Para obter detalhes sobre como examinar e editar suas iniciativas, confira Como trabalhar com políticas de segurança.

Embora a iniciativa de segurança padrão do Defender para Nuvem seja baseada em padrões e melhores práticas do setor, há cenários em que as recomendações internas listadas abaixo podem não se ajustar completamente à sua organização. Às vezes, é necessário ajustar a iniciativa padrão (sem comprometer a segurança), para garantir que ela esteja alinhada com as políticas próprias da sua organização, padrões do setor, padrões regulatórios e benchmarks.

Pontuação segura Controle de Segurança e descrição Recomendações
10 Habilitar a MFA – O Defender para Nuvem valoriza muito a MFA (autenticação multifator). Use estas recomendações para proteger os usuários de suas assinaturas.
Há três maneiras de habilitar a MFA e atender às recomendações: padrões de segurança, atribuição por usuário, política de acesso condicional. Saiba mais sobre essas opções em Gerenciar a imposição de MFA em suas assinaturas.
– A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas
– A MFA deve ser habilitada em contas com permissões de gravação em assinaturas
8 Portas de gerenciamento seguras – Os ataques de força bruta geralmente são direcionados a portas de gerenciamento. Use estas recomendações para reduzir sua exposição com ferramentas como acesso à VM just-in-time e grupos de segurança de rede. – As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede
– As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time
– As portas de gerenciamento devem ser fechadas nas máquinas virtuais
6 Aplicar atualizações do sistema – A não aplicação de atualizações deixa vulnerabilidades sem patch e resulta em ambientes suscetíveis a ataques. Siga estas recomendações para manter a eficiência operacional, reduzir vulnerabilidades de segurança e fornecer um ambiente mais estável para seus usuários finais. Você pode usar a solução de Gerenciamento de Atualizações para gerenciar patches e atualizações de seus computadores. – O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux
– O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
– O agente do Log Analytics deve ser instalado em máquinas virtuais
– O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows
– As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas
– As atualizações do sistema devem ser instaladas nos computadores
– As atualizações do sistema devem ser instaladas nos computadores (da plataforma Centro de Atualizações)
6 Corrigir as vulnerabilidades – O Defender para Nuvem inclui vários verificadores de avaliação de vulnerabilidades para verificar computadores, bancos de dados e registros de contêiner em busca de pontos fracos que possam ser aproveitados por atores de ameaças. Siga estas recomendações para habilitar esses scanners e examinar suas descobertas.
Saiba mais sobre a verificação de computadores, Servidores SQL e registros de contêiner.
– Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
– Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
– As imagens de contêiner devem ser implantadas somente de registros confiáveis
– As imagens do registro de contêiner devem ter as conclusões de vulnerabilidade resolvidas
– Os aplicativos de funções devem ter as descobertas de vulnerabilidade resolvidas
– Os clusters do Kubernetes devem ser implantados de imagens vulneráveis
– Os computadores devem ter uma solução de avaliação de vulnerabilidade
– Os computadores devem ter as conclusões de vulnerabilidades resolvidas
– A execução de imagens de contêiner deve ter descobertas de vulnerabilidade resolvidas
4 Corrigir as configurações de segurança – Os ativos de TI configurados incorretamente têm um risco maior de ataque. Use estas recomendações para proteger os erros de configuração identificados em sua infraestrutura. – Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
– Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
– Os contêineres só devem usar perfis AppArmor permitidos
– O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux
– O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
– O agente do Log Analytics deve ser instalado em máquinas virtuais
– O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows
– Os computadores devem ser configurados com segurança
– As políticas de segurança de pod devem ser definidas nos serviços de Kubernetes (preterido)
– Os bancos de dados SQL devem ter as conclusões de vulnerabilidade resolvidas
– As instâncias gerenciadas de SQL devem ter a avaliação de vulnerabilidade configurada
– Os SQL Server em computadores devem ter as conclusões de vulnerabilidade resolvidas
– Os SQL Servers devem ter a avaliação de vulnerabilidade configurada
– Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança
– É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)
– É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado)
4 Gerenciar o acesso e as permissões – Uma parte principal de um programa de segurança é garantir que os usuários tenham o acesso necessário para trabalhar, mas nada além disto: o modelo de acesso de privilégios mínimos. Siga estas recomendações para gerenciar seus requisitos de identidade e acesso. – A autenticação para computadores Linux deve exigir chaves SSH
– Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
– Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
– O contêiner com elevação de privilégio deve ser evitado
– Os contêineres que compartilham os namespaces de host confidenciais deverão ser evitados
– As contas preteridas devem ser removidas das assinaturas
– As contas preteridas devem ser removidas da sua assinatura do Azure
– As contas preteridas com permissões de proprietário devem ser removidas das assinaturas
– As contas preteridas com permissões de proprietário devem ser removidas da sua assinatura do Azure
-As contas externas com permissões de proprietário devem ser removidas das assinaturas
– As contas externas com permissões de proprietário devem ser removidas dos seus recursos do Azure
– As contas externas com permissões de gravação devem ser removidas das assinaturas
– As contas externas com permissões de gravação devem ser removidas dos seus recursos do Azure
– Os aplicativos de funções devem ter a opção Certificados do Client (Certificados do cliente de entrada) habilitada
– A extensão de configuração de convidado deve ser instalada nos computadores
– O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres
– Os recursos do Linux com privilégios mínimos devem ser impostos para contêineres
– A identidade gerenciada deve ser usada em aplicativos de API
– A identidade gerenciada deve ser usada em aplicativos de funções
– A identidade gerenciada deve ser usada em aplicativos Web
– Contêineres com privilégios devem ser evitados
– O controle de acesso baseado em função deve ser usado nos serviços de Kubernetes
– A execução de contêineres como usuário raiz deve ser evitada
– Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente
– O acesso público à conta de Armazenamento não deve ser permitido
– O uso de montagens de volume HostPath de pod deve ser restrito a uma lista conhecida para restringir o acesso de nó de contêineres comprometidos
– A extensão configuração de convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída pelo sistema
4 Habilitar a criptografia em inatividade – Siga essas recomendações para reduzir as configurações incorretas em relação à proteção dos dados armazenados. – A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign
– A Transparent Data Encryption deve ser habilitada nos bancos de dados SQL
– As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e de armazenamento
4 Criptografar dados em trânsito – Siga essas recomendações para proteger os dados que estão sendo movidos entre componentes, locais ou programas. Esses dados são suscetíveis a ataques man-in-the-middle, espionagem e sequestro de sessão. – O aplicativo de API só deve ser acessível por HTTPS
– Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL
– Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL
– O FTPS deve ser necessário em aplicativos de API
– O FTPS deve ser necessário em aplicativos de funções
– O FTPS deve ser necessário em aplicativos Web
– O aplicativo de funções só deve ser acessível por HTTPS
– O Cache Redis deve permitir o acesso somente por SSL
– A transferência segura para contas de armazenamento deve ser habilitada
– O TLS deve ser atualizado para a última versão nos aplicativos de API
– O TLS deve ser atualizado para a última versão nos aplicativos de funções
– O TLS deve ser atualizado para a última versão nos aplicativos Web
– O aplicativo Web só deve ser acessível por HTTPS
4 Restringir o acesso não autorizado à rede – O Azure oferece um conjunto de ferramentas projetadas para garantir que os acessos em toda a rede atendam aos mais altos padrões de segurança.
Siga estas recomendações para gerenciar as configurações de Proteção de redes adaptáveis do Defender para Nuvem, verificar se você configurou o Link Privado do Azure para todos os serviços PaaS relevantes, habilitar o Firewall do Azure em suas redes virtuais e muito mais.
– As recomendações de proteção de rede adaptáveis devem ser aplicadas em máquinas virtuais voltadas para a Internet
– Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à máquina virtual
– A Configuração de Aplicativos deve usar um link privado
– Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
– O Cache do Azure para Redis deve residir em uma rede virtual
– Os domínios da Grade de Eventos do Azure devem usar um link privado
– Os tópicos da Grade de Eventos do Azure devem usar um link privado
– Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
– Os workspaces do Azure Machine Learning devem usar um link privado
– O Serviço do Azure SignalR deve usar um link privado
– O Azure Spring Cloud deve usar uma injeção de rede
– Os registros de contêiner não devem permitir acesso irrestrito à rede
– Os registros de contêiner devem usar um link privado
– Os contêineres devem escutar somente nas portas permitidas (preterida)
– O CORS não deve permitir que todos os recursos acessem aplicativos de API
– O CORS não deve permitir que todos os recursos acessem aplicativos de funções
– O CORS não deve permitir que todos os recursos acessem aplicativos Web
– O firewall deve ser habilitado no Key Vault
– As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede
– O encaminhamento IP na máquina virtual deve ser desabilitado
– O servidor da API do Kubernetes deve ser configurado com acesso restrito
– O ponto de extremidade privado deve ser configurado para o Key Vault
– O ponto de extremidade privado deve ser habilitado para servidores MariaDB
– O ponto de extremidade privado deve ser habilitado para servidores MySQL
– O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL
– O acesso à rede pública deve ser desabilitado para servidores MariaDB
– O acesso à rede pública deve ser desabilitado para servidores MySQL
– O acesso à rede pública deve ser desabilitado para servidores PostgreSQL
– Os serviços devem escutar somente em portas permitidas
– A conta de armazenamento deve usar uma conexão de link privado
– As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual
– O uso de rede e portas do host deve ser restrito
– As redes virtuais devem ser protegidas pelo Firewall do Azure
– Os modelos do Construtor de Imagens de VM devem usar um link privado
3 Aplicar controles adaptáveis – Os controles de aplicativos adaptáveis é uma solução inteligente, automatizada e de ponta a ponta para controlar quais aplicativos podem ser executados nos seus computadores. Ele também ajuda a proteger seus computadores contra malware. – Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores
– As regras de lista de permitidos na política de controles de aplicativos adaptáveis devem ser atualizadas
– O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux
– O agente do Log Analytics deve ser instalado em máquinas virtuais
– O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows
2 Proteja seus aplicativos com as soluções de rede avançada do Azure - – Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
– A proteção contra DDoS do Azure Standard deve ser habilitada
– Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
– Os limites de memória e CPU do contêiner devem ser impostos
– O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo
– O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço Azure Front Door Service
2 Habilitar a proteção de ponto de extremidade – o Defender para Nuvem verifica os pontos de extremidade da organização em busca de soluções ativas de detecção e resposta a ameaças, como o Microsoft Defender para Ponto de Extremidade ou qualquer uma das principais soluções nesta lista.
Quando uma solução de EDR (Detecção e Resposta de Ponto de Extremidade) não é encontrada, você pode usar estas recomendações para implantar o Microsoft Defender para Ponto de Extremidade (incluído como parte do Microsoft Defender para servidores).
Outras recomendações neste controle ajudam a implantar o agente do Log Analytics e a configurar o monitoramento de integridade de arquivo.
– Problemas de integridade do Endpoint Protection em computadores devem ser resolvidos
– Problemas de integridade do Endpoint Protection em computadores devem ser resolvidos
– Problemas de integridade do Endpoint Protection em conjuntos de dimensionamento de máquinas virtuais devem ser resolvidos
– O Endpoint Protection deve ser instalado em computadores
– O Endpoint Protection deve ser instalado em computadores
– O Endpoint Protection deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
– Instalar a solução Endpoint Protection em máquinas virtuais
– O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux
– O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
– O agente do Log Analytics deve ser instalado em máquinas virtuais
– O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows
1 Habilitar logs e auditoria é fundamental para as investigações de incidentes e muitas outras operações de solução de problemas. As recomendações nesse controle se concentram em garantir que você habilite os logs de diagnóstico sempre que for relevante. – A auditoria no SQL Server deve ser habilitada
– Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
– Os logs de diagnóstico no Azure Data Lake Storage devem ser habilitados
– Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados
– Os logs de diagnóstico em contas do lote devem ser habilitados
– Os logs de diagnóstico no Data Lake Analytics devem ser habilitados
– Os logs de diagnóstico no Hub de Eventos devem ser habilitados
– Os logs de diagnóstico no Key Vault devem ser habilitados
– Os logs de diagnóstico nos serviços Kubernetes devem ser habilitados
– Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados
– Os logs de diagnóstico nos serviços Pesquisa devem ser habilitados
– Os logs de diagnóstico no Barramento de Serviço devem ser habilitados
– Os logs de diagnóstico em conjuntos de dimensionamento de máquinas virtuais devem ser habilitados
0 Habilitar recursos de segurança aprimorada – Use estas recomendações para habilitar um dos planos de recursos de segurança aprimorada. – Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada
– Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado
– O monitoramento de integridade do arquivo deve ser habilitado em servidores
– O Microsoft Defender para Serviço de Aplicativo deve estar habilitado
– O Microsoft Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado
– O Microsoft Defender para Contêineres deve estar habilitado
– O Microsoft Defender para DNS deve estar habilitado
– O Microsoft Defender para Key Vault deve estar habilitado
– O Microsoft Defender para bancos de dados relacionais de código aberto deve estar habilitado
– O Microsoft Defender para Resource Manager deve estar habilitado
– O Microsoft Defender para Servidores deve estar habilitado
– O Microsoft Defender para Servidores deve estar habilitado nos workspaces
– O Microsoft Defender para SQL nos computadores deve estar habilitado nos workspaces
– O Microsoft Defender para SQL Servers em computadores deve ser habilitado
– O Microsoft Defender para Armazenamento deve estar habilitado
0 Implementar práticas recomendadas de segurança – Esse controle não tem impacto sobre sua classificação de segurança. Por essa razão, esta é uma coleção de recomendações importantes para atender à segurança da organização, mas que acreditamos que não devem fazer parte da forma como você avalia sua classificação geral. – [Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
– [Habilitar se necessário] Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– [Habilitar se necessário] As contas dos Serviços Cognitivos devem ter a criptografia de dados habilitada com uma CMK (chave gerenciada pelo cliente)
– [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– [Habilitar se necessário] Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– [Habilitar se necessário] Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– [Habilitar se necessário] As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– [Habilitar se necessário] Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– [Habilitar se necessário] As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia
– Uma quantidade máxima de três proprietários deve ser designada para as assinaturas
– O acesso a contas de armazenamento com firewall e configurações de rede virtual deve ser restrito
– Todos os tipos de proteção avançada contra ameaças devem ser habilitados na Instância Gerenciada de SQL configurações de Segurança de Dados Avançada
– Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de Segurança de Dados Avançada do SQL Server
– Os serviços de Gerenciamento de API devem usar uma rede virtual
– A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias
– O provisionamento automático do agente do Log Analytics deve ser habilitado em assinaturas
– As variáveis da conta de Automação devem ser criptografadas
– O Backup do Azure deve ser habilitado para máquinas virtuais
– As contas do Azure Cosmos DB devem ter regras de firewall
– As contas dos Serviços Cognitivos devem habilitar a criptografia de dados
– As contas dos Serviços Cognitivos devem restringir o acesso à rede
– As contas dos Serviços Cognitivos devem usar o armazenamento de pertencente ao cliente ou habilitar a criptografia de dados
– Os hosts de contêiner devem ser configurados com segurança
– A política de filtro IP padrão deve ser Negar
– Os logs de diagnóstico no Hub IoT devem ser habilitados
– A notificação por email para alertas de alta severidade deve ser habilitada
– A notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada
– Verifique se o aplicativo de API tem certificados de cliente com certificados de clientes de entrada definidos como ativados
– As contas externas com permissões de leitura devem ser removidas das assinaturas
– As contas externas com permissões de leitura devem ser removidas dos seus recursos do Azure
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL
A extensão de atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais do Linux com suporte
– A extensão de atestado de convidado deve ser instalada em máquinas virtuais do Linux com suporte
– A extensão de atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais do Windows com suporte
– A extensão de atestado de convidado deve ser instalada em máquinas virtuais do Windows com suporte
– A extensão de configuração de convidado deve ser instalada nos computadores
– Credenciais de autenticação idênticas
– Intervalo de IP grande da regra de filtro IP
– O Java deve ser atualizado para a última versão nos aplicativos de API
– O Java deve ser atualizado para a última versão nos aplicativos de funções
– O Java deve ser atualizado para a última versão nos aplicativos Web
– As chaves do Key Vault devem ter uma data de validade
– Os segredos do Key Vault devem ter uma data de validade
– Os cofres de chaves devem ter a proteção contra limpeza habilitada
– Os cofres de chaves devem ter a exclusão temporária habilitada
– Os clusters do Kubernetes devem ser acessíveis somente por HTTPS
– Os clusters Kubernetes devem desabilitar a montagem automática de credenciais de API
– Os clusters Kubernetes não devem conceder funcionalidades de segurança CAPSYSADMIN
– Os clusters Kubernetes não devem usar o namespace padrão
– As máquinas virtuais do Linux devem impor a validação de assinatura do módulo kernel
– As máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados
– As máquinas virtuais do Linux devem usar a inicialização segura
– Os computadores devem ser reiniciados para aplicar atualizações de configuração de segurança
– Os computadores devem ter portas fechadas que possam expor vetores de ataque
– A MFA deve ser habilitada em contas com permissões de leitura em assinaturas
– A MFA deve ser habilitada em contas com permissões de leitura nos seus recursos do Azure
– O Microsoft Defender para SQL deve ser habilitado para servidores do SQL do Azure desprotegidos
– O Microsoft Defender para SQL deve ser habilitado para Instância Gerenciada de SQL não protegidas
– O Observador de Rede deve estar habilitado
– As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
– O PHP deve ser atualizado para a última versão nos aplicativos de API
– O PHP deve ser atualizado para a última versão nos aplicativos Web
– As conexões e ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas
– O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado
– O acesso à rede pública deve ser desabilitado para contas dos Serviços Cognitivos
– O Python deve ser atualizado para a última versão nos aplicativos de API
– O Python deve ser atualizado para a última versão nos aplicativos de funções
– O Python deve ser atualizado para a última versão nos aplicativos Web
– A depuração remota deve ser desativada para o aplicativo de API
– A depuração remota deve ser desativada para o Aplicativo de Funções
– A depuração remota deve ser desativada para aplicativos Web
– A Inicialização Segura deve ser habilitada em máquinas virtuais do Windows com suporte
– Os SQL Servers devem ter um administrador do Azure Active Directory provisionado
– As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager
– As sub-redes devem ser associadas a um grupo de segurança de rede
– As assinaturas devem ter um endereço de email de contato para problemas de segurança
– Deve haver mais de um proprietário atribuído às assinaturas
– O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses
– O status do atestado de convidado de máquinas virtuais deve estar íntegro
– A extensão configuração de convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída pelo sistema
– As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager
– O vTPM deve estar habilitado em máquinas virtuais com suporte
– Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada
– O Microsoft Defender Exploit Guard deve ser habilitado nos computadores
– Os servidores Web do Windows devem ser configurados para usar os protocolos de comunicação segura

Perguntas frequentes - Classificação de segurança

Se eu abordar apenas três de quatro recomendações em um controle de segurança, minha pontuação de proteção será alterada?

Não. Ela não será alterada até que você corrija todas as recomendações para um único recurso. Para obter a classificação máxima para um controle, corrija todas as recomendações de todos os recursos.

Se uma recomendação não for aplicável a mim e eu desabilitá-la na política, meu controle de segurança será atendido e minha pontuação segura será atualizada?

Sim. É recomendável desabilitar as recomendações quando elas não são aplicáveis em seu ambiente. Para obter instruções sobre como desabilitar uma recomendação específica, consulte Desabilitar políticas de segurança.

Caso um controle de segurança me ofereça zero pontos em relação à minha pontuação segura, devo ignorá-lo?

Em alguns casos, você verá uma pontuação máxima de controle maior que zero, mas o impacto é zero. Quando a pontuação incremental para corrigir recursos é insignificante, ela é arredondada para zero. Não ignore essas recomendações, pois elas ainda trazem aprimoramentos de segurança. A única exceção é o controle de "melhor prática adicional". A correção dessas recomendações não aumentará sua pontuação, mas vai aprimorar a segurança geral.

Próximas etapas

Este artigo descreveu a pontuação segura e os controles de segurança incluídos.

Para obter material relacionado, consulte os seguintes artigos: