Definições de iniciativa interna do Azure Policy
Esta página é um índice de definições de iniciativa interna do Azure Policy.
O nome em cada interno está vinculado à fonte de definição de iniciativa no repositório Azure Policy GitHub. Os internos são agrupados pela propriedade categoria nos metadados. Para ir para uma categoria específica, use Ctrl-F para o recurso de pesquisa do seu navegador.
Autogerenciamento
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: auditar a configuração em relação às práticas recomendadas do Gerenciamento Automatizado | As Práticas Recomendadas do Computador de Gerenciamento Automatizado garantem que os recursos gerenciados sejam configurados de acordo com o estado desejado, conforme definido no Perfil de Configuração atribuído. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: habilitar ChangeTracking e Inventário para máquinas virtuais habilitadas para Arc | Habilitar ChangeTracking e Inventário para máquinas virtuais habilitadas para Arc. Usa a ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir locais aplicáveis. | 6 | 1.0.0 – versão prévia |
| [Versão prévia]: habilitar ChangeTracking e Inventário para conjuntos de dimensionamento de máquinas virtuais | Habilite ChangeTracking e Inventário para conjuntos de dimensionamento de máquinas virtuais. Usa a ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir locais aplicáveis e identidade atribuída pelo usuário para o Agente Azure Monitor. | 7 | 1.0.0 – versão prévia |
| [Versão prévia]: habilitar ChangeTracking e Inventário para máquinas virtuais | Habilite ChangeTracking e Inventário para máquinas virtuais. Usa a ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir locais aplicáveis e identidade atribuída pelo usuário para o Agente Azure Monitor. | 7 | 1.0.0 – versão prévia |
Cosmos DB
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Habilitar a política de taxa de transferência do Azure Cosmos DB | Habilite o controle de taxa de transferência para os recursos do Azure Cosmos DB no escopo (grupo de gerenciamento, assinatura ou grupo de recursos) especificado. Usa a taxa de transferência máxima como parâmetro. Use essa política para ajudar a impor o controle de taxa de transferência por meio do provedor de recursos. | 2 | 1.0.0 |
Geral
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Permitir o uso de recursos de custo | Permitir que os recursos sejam implantados, exceto MCPP, M365. | 2 | 1.0.0 |
Configuração de convidado
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: implantar pré-requisitos para habilitar políticas de Configuração de Convidado em máquinas virtuais usando a identidade gerenciada atribuída pelo usuário | Essa iniciativa adiciona uma identidade gerenciada atribuída pelo usuário e implanta a extensão de Configuração de Convidado apropriada para a plataforma em máquinas virtuais qualificadas para serem monitoradas pelas políticas de Configuração de Convidado. Este é um pré-requisito das políticas de Configuração de Convidado e precisa ser atribuído ao escopo da atribuição de política antes do uso de qualquer política de Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | 3 | 1.0.0 – versão prévia |
| [Versão prévia]: os computadores Windows devem atender aos requisitos da linha de base de segurança do Azure | Essa iniciativa audita os computadores Windows com configurações que não atendem à linha de base de computação de segurança do Azure. Para obter detalhes, acesse https://aka.ms/gcpol | 29 | 2.0.1 – versão prévia |
| Auditar os computadores com configurações de segurança de senha não segura | Essa iniciativa implanta os requisitos de política e audita computadores com configurações de segurança de senha não seguras. Para obter mais informações sobre as políticas de Configuração de Convidado, acesse https://aka.ms/gcpol | 9 | 1.1.0 |
| Configure protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) no computador Windows (incluindo pré-requisitos) | Cria uma atribuição de Configuração de Convidado (incluindo pré-requisitos) para configurar a versão do protocolo seguro especificada (TLS 1.1 ou TLS 1.2) no computador Windows. Para obter detalhes, acesse https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| Implantar pré-requisitos para habilitar as políticas de Configuração de Convidado em máquinas virtuais | Essa iniciativa adiciona uma identidade gerenciada atribuída ao sistema e implanta a extensão de Configuração de Convidado apropriada para a plataforma em máquinas virtuais qualificadas para serem monitoradas pelas políticas de Configuração de Convidado. Este é um pré-requisito das políticas de Configuração de Convidado e precisa ser atribuído ao escopo da atribuição de política antes do uso de qualquer política de Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: utilize a Integridade da Imagem para garantir que apenas imagens confiáveis sejam implementadas | Use a Integridade da Imagem para garantir que os clusters do AKS implantem apenas imagens confiáveis habilitando a Integridade da Imagem e os Complementos do Azure Policy em clusters do AKS. O Complemento de Integridade da Imagem e o Complemento do Azure Policy são pré-requisitos para usar a Integridade da Imagem para verificar se a imagem está assinada na implantação. Para obter mais informações, acesse https://aka.ms/aks/image-integrity. | 3 | 1.1.0 – versão prévia |
| [Versão prévia]: a implantação de medidas de segurança deve ajudar a guiar os desenvolvedores em relação às melhores práticas do AKS | Uma coleção de práticas recomendadas do Kubernetes que são recomendadas pelo Serviço de Kubernetes do Azure Para obter a melhor experiência, use a implantação de medidas de segurança para atribuir essa iniciativa de política: https://aka.ms/aks/deployment-safeguards. O complemento Azure Policy para AKS é um pré-requisito para aplicar essas práticas recomendadas aos seus clusters. Para obter instruções sobre como habilitar o Complemento Azure Policy, acesse aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Padrões de linha de base de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux | Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod do cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Padrões restritos de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux | Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod do cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identidade Gerenciada
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: as Credenciais Federadas de Identidade Gerenciada devem ser de tipos aprovados de fontes de federação aprovadas | Controlar o uso de Credenciais federadas para Identidades Gerenciadas. Essa iniciativa inclui políticas para bloquear completamente as credenciais de identidade federadas, para limitar o uso a tipos específicos de provedores de federação e para limitar os relacionamentos de federação a fontes aprovadas. | 3 | 1.0.0 – versão prévia |
Monitoramento
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: configurar o Azure Defender para agentes SQL em máquinas virtuais | Configure máquinas virtuais para instalar automaticamente o Azure Defender para agentes SQL em que o Agente do Azure Monitor está instalado. A Central de Segurança coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um workspace do Log Analytics na mesma região que a do computador. Essa política se aplica somente a VMs em algumas regiões. | 2 | 1.0.0 – versão prévia |
| Configurar os computadores do Linux para executar o Agente do Azure Monitor e associá-los a uma Regra de Coleta de Dados | Monitore e proteja suas máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc implantando a extensão Azure Monitor Agent e associando as máquinas a uma Regra de Coleção de Dados especificada. A implantação ocorrerá em máquinas com imagens do sistema operacional com suporte (ou máquinas que corresponde à lista de imagens fornecidas) em regiões com suporte. | 4 | 3.2.0 |
| Configurar os computadores do Windows para executar o Agente do Azure Monitor e associá-los a uma Regra de Coleção de Dados | Monitore e proteja suas máquinas virtuais Windows, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc implantando a extensão Azure Monitor Agent e associando as máquinas a uma Regra de Coleção de Dados especificada. A implantação ocorrerá em máquinas com imagens do sistema operacional com suporte (ou máquinas que corresponde à lista de imagens fornecidas) em regiões com suporte. | 4 | 3.2.0 |
| Implantar o Agente do Azure Monitor para Linux com autenticação baseada em identidade gerenciada atribuída pelo usuário e associar-se à Regra de Coleta de Dados | Monitore suas máquinas virtuais Linux e conjuntos de dimensionamento de máquinas virtuais implantando a extensão de agente do Azure Monitor com autenticação de identidade gerenciada atribuída pelo usuário e associação a uma Regra de Coleção de Dados especificada. A implantação do agente do Azure Monitor ocorrerá em máquinas com imagens do sistema operacional com suporte (ou máquinas que corresponde à lista de imagens fornecidas) em regiões com suporte. | 5 | 2.3.0 |
| Implantar o Agente do Azure Monitor para Windows com autenticação baseada em identidade gerenciada atribuída pelo usuário e associar-se à Regra de Coleta de Dados | Monitore suas máquinas virtuais Windows e conjuntos de dimensionamento de máquinas virtuais implantando a extensão de agente do Azure Monitor com autenticação de identidade gerenciada atribuída pelo usuário e associação a uma Regra de Coleção de Dados especificada. A implantação do agente do Azure Monitor ocorrerá em máquinas com imagens do sistema operacional com suporte (ou máquinas que corresponde à lista de imagens fornecidas) em regiões com suporte. | 5 | 2.3.0 |
| Habilite o registro em log de recursos de grupos de categorias de auditoria para recursos com suporte no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa iniciativa implanta a configuração de diagnóstico utilizando o grupo de categorias de auditoria para rotear os logs para o Hub de Eventos para todos os recursos com suporte | 33 | 1.0.0 |
| Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa iniciativa implementa a configuração de diagnóstico utilizando o grupo de categorias de auditoria para rotear os logs para o Log Analytics em todos os recursos com suporte. | 33 | 1.0.0 |
| Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte no armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa iniciativa implementa a configuração de diagnóstico utilizando o grupo de categorias de auditoria para rotear os logs para o armazenamento de todos os recursos com suporte. | 33 | 1.0.0 |
| Habilitar o Azure Monitor para VMs híbridas com o AMA | Habilite o Azure Monitor para as máquinas virtuais híbridas com o AMA. | 6 | 1.0.0 |
| Habilitar o Azure Monitor para VMs com o AMA (Agente de Monitoramento do Azure) | Habilite o Azure Monitor para as VMs (máquinas virtuais) híbridas com o AMA. | 7 | 1.0.0 |
| Habilitar o Azure Monitor para VMSS com o AMA (Agente de Monitoramento do Azure) | Habilite o Azure Monitor para o VMSS (conjunto de dimensionamento de máquinas virtuais) com o AMA. | 7 | 1.0.0 |
| Herdado − Habilitar o Azure Monitor para Conjuntos de Dimensionamento de Máquinas Virtuais | Herdado − Habilite o Azure Monitor para os Conjuntos de Dimensionamento de Máquinas Virtuais no escopo especificado (grupo de gerenciamento, assinatura ou grupo de recursos). Usa o espaço de trabalho do Log Analytics como parâmetro. Use a nova iniciativa nomeada como: Habilitar o Azure Monitor para VMSS com o AMA (Agente de Monitoramento do Azure). Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão para todas as VMs no conjunto ao chamar o upgrade nelas. Na CLI, isso seria az vmss update-instances. | 6 | 1.0.2 |
| Herdado − Habilitar o Azure Monitor para VMs | Herdado − Habilite o Azure Monitor para as VMs (máquinas virtuais) no escopo (grupo de gerenciamento, assinatura ou grupo de recursos) especificado. Usa o espaço de trabalho do Log Analytics como parâmetro. Usar a nova iniciativa nomeada como: Habilitar o Azure Monitor para VMs com o AMA (Agente de Monitoramento do Azure) | 10 | 2.0.1 |
Rede
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Os logs de fluxo devem ser configurados e habilitados para cada grupo de segurança de rede | Faça a auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados e se o status do log de fluxo está habilitado. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | 2 | 1.0.0 |
Conformidade normativa
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: PROTEGIDO POR ISM do Governo Australiano | Essa iniciativa inclui políticas que abordam um subconjunto de controles do ISM (manual de segurança de informações) do governo australiano. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Versão prévia]: CMMC 2.0 Nível 2 | Esta iniciativa inclui políticas que abordam um subconjunto de práticas de CCMC 2.0 Nível 2. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Versão prévia]: MPAA (Motion Picture Association of America) | Essa iniciativa inclui políticas de implantação de auditoria e extensão de máquina virtual que tratam de um subconjunto de controles de segurança e diretrizes da MPAA. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/mpaa-init. | 36 | 4.1.0 – versão prévia |
| [Versão prévia]: Reserve Bank of India – Estrutura de TI para bancos | Essa iniciativa inclui políticas que abordam um subconjunto controles do Reserve Bank of India IT Framework for Banks. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Versão prévia]: Reserve Bank of India – Estrutura de TI para NBFC | Essa iniciativa inclui políticas que abordam um subconjunto controles da estrutura de TI do Reserve Bank of India para NBFC (Empresas Financeiras não bancárias). Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Versão prévia]: linha de base do Microsoft Cloud for Sovereignty – Políticas confidenciais | O Microsoft Cloud for Sovereignty recomenda políticas confidenciais para ajudar as organizações a alcançar suas metas de soberania, negando por padrão a criação de recursos fora de regiões aprovadas, negando recursos que não são apoiados pela Computação Confidencial do Azure e negando recursos de armazenamento de dados que não estão usando chaves gerenciadas pelo cliente. Encontre mais detalhes aqui: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0 – versão prévia |
| [Versão prévia]: linha de base do Microsoft Cloud for Sovereignty – Políticas globais | O Microsoft Cloud for Sovereignty recomenda políticas globais para ajudar as organizações a alcançar suas metas de soberania, negando por padrão a criação de recursos fora das regiões aprovadas. Encontre mais detalhes aqui: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0 – versão prévia |
| [Versão prévia]: SWIFT CSP-CSCF v2020 | Essa iniciativa inclui políticas de implantação de auditoria e extensão de máquina virtual que abordam um subconjunto de controles SWIFT CSP-CSCF v2020. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/swift2020-init. | 59 | 6.1.0 – versão prévia |
| [Versão prévia]: SWIFT CSP-CSCF v2021 | Essa iniciativa inclui políticas que abordam um subconjunto dos controles da Estrutura de Controles de Segurança do Cliente v2021 do Programa de Segurança do Cliente do SWIFT. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| Certificação ACAT para o Microsoft 365 | A Ferramenta de Automação de Conformidade de Aplicativos para o Microsoft 365 (ACAT) simplifica o processo para obter a Certificação do Microsoft 365, confira https://aka.ms/acat. Essa certificação garante que os aplicativos tenham fortes práticas de segurança e conformidade para proteger os dados, a segurança e a privacidade dos clientes. Essa iniciativa inclui políticas que abordam um subconjunto dos controles de Certificação do Microsoft 365. Políticas adicionais serão adicionadas em versões futuras. | 24 | 1.0.0 |
| PBMM Federal do Canadá | Esta iniciativa inclui políticas que abordam um subconjunto de controles do Canada Federal PBMM. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | O CIS (Center for Internet Security) é uma entidade sem fins lucrativos cuja missão é 'identificar, desenvolver, validar, promover e sustentar soluções de práticas recomendadas para defesa cibernética'. Os parâmetros de comparação do CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles do CIS Microsoft Azure Foundations Benchmark v1.1.0. Para obter mais informações, visite https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | O CIS (Center for Internet Security) é uma entidade sem fins lucrativos cuja missão é 'identificar, desenvolver, validar, promover e sustentar soluções de práticas recomendadas para defesa cibernética'. Os parâmetros de comparação do CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles do CIS Microsoft Azure Foundations Benchmark v1.3.0. Para obter mais informações, visite https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | O CIS (Center for Internet Security) é uma entidade sem fins lucrativos cuja missão é 'identificar, desenvolver, validar, promover e sustentar soluções de práticas recomendadas para defesa cibernética'. Os parâmetros de comparação do CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles do CIS Microsoft Azure Foundations Benchmark v1.4.0. Para obter mais informações, visite https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | O CIS (Center for Internet Security) é uma entidade sem fins lucrativos cuja missão é 'identificar, desenvolver, validar, promover e sustentar soluções de práticas recomendadas para defesa cibernética'. Os parâmetros de comparação do CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles do CIS Microsoft Azure Foundations Benchmark v2.0.0. Para obter mais informações, visite https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CMMC nível 3 | Essa iniciativa inclui políticas que abordam um subconjunto de requisitos do CMMC (Cybersecurity Maturity Model Certification) nível 3. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | O FedRAMP é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços baseados em nuvem. O FedRAMP define um conjunto de controles para sistemas de nível de impacto de segurança Baixo, Moderado ou Alto com base nos controles de linha de base do NIST. Essas políticas abordam um subconjunto de controles do FedRAMP (Alto). Para obter mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP Moderado | O FedRAMP é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços baseados em nuvem. O FedRAMP define um conjunto de controles para sistemas de nível de impacto de segurança Baixo, Moderado ou Alto com base nos controles de linha de base do NIST. Essas políticas abordam um subconjunto de controles do FedRAMP (Moderado). Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | A HITRUST (Health Information Trust Alliance) ajuda organizações de todos os setores, mas especialmente de serviços de saúde, a gerenciar dados, os riscos de informações e a conformidade com eficiência. A certificação HITRUST significa que a organização passou por uma avaliação completa do programa de segurança da informação. Essas políticas abordam um subconjunto de controles HITRUST. Para obter mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075 de setembro de 2016 | Esta iniciativa inclui políticas que abordam um subconjunto de controles do IRS1075 de setembro de 2016. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | O padrão ISO (Organização Internacional de Normalização) 27001 fornece requisitos para estabelecer, implementar, manter e aprimorar continuamente um ISMS (Sistema de Gerenciamento de Segurança da Informação). Essas políticas abordam um subconjunto de controles ISO 27001:2013. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | O NIST (National Institute of Standards and Technology) dos EUA promove e mantém padrões de medição e diretrizes para ajudar a proteger sistemas de informações e informações de agências federais. Em resposta à Ordem Executiva 13556 sobre o gerenciamento de CUI (informações não classificadas controladas), ele publicou o NIST SP 800-171. Essas políticas abordam um subconjunto de controles NIST SP 800-171 Rev. 2. Para obter mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | O NIST (National Institute of Standards and Technology) SP 800-53 R4 fornece uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem para gerenciar riscos de segurança da informação. Essas políticas abordam um subconjunto de controles NIST SP 800-53 R4. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | O NIST (National Institute of Standards and Technology) SP 800-53 Rev. 5 fornece uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem para gerenciar riscos de segurança da informação. Essas políticas abordam um subconjunto de controles NIST SP 800-53 R5. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| Tema de nuvem do NL BIO | Essa iniciativa inclui políticas que abordam os controles holandeses de Baseline Informatiebeveiliging (BIO) especificamente para o "thema-uitwerking Clouddiensten" e inclui políticas cobertas pelos controles SOC2 e ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | Os Padrões de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI) é um padrão de segurança de informações global projetado para evitar fraudes por meio do aumento do controle de dados de cartão de crédito. A conformidade com o PCI DSS é necessária para qualquer organização que armazena, processa ou transmite dados de pagamento e de titular do cartão. Essas políticas abordam um subconjunto de controles PCI-DSS v4. Para obter mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Esta iniciativa inclui políticas que abordam um subconjunto de controles do PCI v3.2.1:2018. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malásia | Esta iniciativa inclui políticas que abordam um subconjunto de requisitos do RMIT. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 Tipo 2 | Um SOC (Controles de Sistema e Organização) 2 é um relatório baseado nos Princípios e Critérios do Serviço de Confiança estabelecidos pelo AICPA (American Institute of Certified Public Accountants). O Relatório avalia o sistema de informações de uma organização relevante para os seguintes princípios: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Essas políticas abordam um subconjunto de controles SOC 2 do Tipo 2. Para obter mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | O CSP (Programa de Segurança do Cliente) da SWIFT ajuda as instituições financeiras a garantir que suas defesas contra ataques cibernéticos sejam atualizadas e eficazes, a fim de proteger a integridade da rede financeira mais ampla. Os usuários comparam as medidas de segurança implementadas com aquelas detalhadas no CSCF (Customer Security Controls Framework). Essas políticas abordam um subconjunto de controles SWIFT. Para obter mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| UK OFFICIAL e UK NHS | Essa iniciativa inclui políticas de implantação de auditoria e extensão de máquina virtual que abordam um subconjunto de controles UK OFFICIAL e UK NHS. Políticas adicionais serão adicionadas em versões futuras. Para obter mais informações, visite https://aka.ms/ukofficial-init e https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Resiliência
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: os recursos devem ser resilientes à zona | Alguns tipos de recursos podem ser implantados com Redundância de Zona (por exemplo, Bancos de Dados SQL); alguns podem ser implantados Alinhados à Zona (por exemplo, Máquinas Virtuais); e alguns podem ser implantados Alinhados à zona ou com Redundância de Zona (por exemplo, Conjuntos de Dimensionamento de Máquinas Virtuais). Estar alinhado à zona não garante resiliência, mas é a base na qual uma solução resiliente pode ser criada (por exemplo, três zonas de Conjuntos de Dimensionamento de Máquinas Virtuais alinhadas a três zonas diferentes na mesma região com um balanceador de carga). Confira https://aka.ms/AZResilience para obter mais informações. | 34 | 1.10.0-preview |
SDN
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Auditar acesso à rede pública | Auditar recursos do Azure que permitem acesso a partir da Internet pública | 35 | 4.2.0 |
| Avaliar o uso do Link Privado em todos os recursos do Azure com suporte | Recursos em conformidade devem ter, pelo menos, uma conexão de ponto de extremidade privado aprovada | 30 | 1.1.0 |
Central de Segurança
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: Implantar o agente do Microsoft Defender para Ponto de Extremidade | Implante o agente do Microsoft Defender para Ponto de Extremidade em imagens aplicáveis. | 4 | 1.0.0 – versão prévia |
| Configurar a Proteção Avançada contra Ameaças como habilitada nos bancos de dados relacionais de código aberto | Habilite a Proteção Avançada contra Ameaças nos seus bancos de dados relacionais open-source de nível Não Básico para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais no sentido de acessar ou explorar bancos de dados. Consulte https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configure o Azure Defender para ser habilitado em Servidores SQL e instâncias gerenciadas de SQL | Habilite o Azure Defender em seus servidores SQL e instâncias gerenciadas de SQL para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | 3 | 3.0.0 |
| Configurar os planos do Microsoft Defender para Nuvem | O Microsoft Defender para Nuvem fornece proteções abrangentes e nativas de nuvem do desenvolvimento ao runtime em ambientes de várias nuvens. Use a iniciativa de política para configurar os planos e extensões do Defender para Nuvem a serem habilitados em escopos selecionados. | 11 | 1.0.0 |
| Configurar para que o Microsoft Defender para Banco de Dados seja habilitado | Configure o Microsoft Defender para Bancos de Dados para proteger seus bancos de dados SQL do Azure, instâncias gerenciadas, bancos de dados relacionais de software livre e Cosmos DB. | 4 | 1.0.0 |
| Definir várias configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem | Defina as várias configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | 3 | 1.0.0 |
| Configurar VMs do SQL e SQL Servers habilitados para o Arc para instalar o Microsoft Defender para SQL e o AMA com um workspace do Log Analytics | O Microsoft Defender para SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma Regra de Coleta de Dados (DCR) e um workspace do Log Analytics na mesma região do computador. | 9 | 1.2.1 |
| Configurar VMs do SQL e SQL Servers habilitados para o Arc para instalar o Microsoft Defender para SQL e o AMA com um workspace do Log Analytics definido pelo usuário | O Microsoft Defender para SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma Regra de Coleta de Dados na mesma região do workspace do Log Analytics definido pelo usuário. | 8 | 1.1.1 |
| Microsoft Cloud Security Benchmark | A iniciativa de parâmetro de comparação de segurança em nuvem da Microsoft representa as políticas e os controles que implementam as recomendações de segurança definidas no parâmetro de comparação de segurança em nuvem da Microsoft, confira https://aka.ms/azsecbm. Ela também funciona como a iniciativa de política padrão do Microsoft Defender para Nuvem. Você pode atribuir essa iniciativa diretamente ou gerenciar as políticas e os resultados de conformidade no Microsoft Defender para Nuvem. | 241 | 57.37.0 |
SQL
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra | Exigir autenticação somente do Microsoft Entra para o Banco de Dados SQL do Azure, desabilitando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades do Microsoft Entra, melhorando a segurança com aprimoramentos de autenticação modernos, inclusive a MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
| A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Microsoft Entra | Exigir autenticação somente do Microsoft Entra para a instância Gerenciada de SQL do Azure, desabilitando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades do Microsoft Entra, melhorando a segurança com aprimoramentos de autenticação modernos, inclusive a MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
Synapse
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Configurar os Espaços de trabalho do Synapse para exigir identidades somente do Microsoft Entra para autenticação | Exigir e configurar a autenticação somente do Microsoft Entra para os Espaços de trabalho do Synapse, desabilitando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades do Microsoft Entra, melhorando a segurança com aprimoramentos de autenticação modernos, inclusive a MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
| Os Espaços de trabalho do Synapse devem ter a autenticação somente do Microsoft Entra | Exigir autenticação somente do Microsoft Entra para os Espaços de trabalho do Synapse, desabilitando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades do Microsoft Entra, melhorando a segurança com aprimoramentos de autenticação modernos, inclusive a MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
Marcas
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Garante que os recursos não tenham uma marca específica. | Nega a criação de um recurso que contenha a marca fornecida. Não se aplica a grupos de recursos. | 1 | 2.0.0 |
Início Confiável
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: configurar os pré-requisitos para habilitar o Atestado de Convidado em VMs habilitadas para Início Confiável | Configure as máquinas virtuais habilitadas para Início Confiável para instalar automaticamente a extensão Atestado de Convidado e habilitar a identidade gerenciada atribuída pelo sistema a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. Para obter mais detalhes, consulte o seguinte link – https://aka.ms/trustedlaunch | 7 | 3.0.0 – versão prévia |
VirtualEnclaves
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: controlar o uso do AKS em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para AKS garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do Serviço de Aplicativo em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para Serviço de Aplicativo garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do Registro de Contêiner em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para Registro de Contêiner garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do CosmosDB em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para CosmosDB garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso das configurações de diagnóstico para recursos específicos em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para garantir a configuração de tipos de recursos específicos nos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do Key Vault em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para Key Vaults garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do Microsoft SQL em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para Microsoft SQL garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do PostgreSql em um Enclave Virtual | Essa iniciativa implanta políticas do Azure para PostgreSql garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso do Barramento de Serviço em um Enclave Virtual | Essa iniciativa implanta políticas do Barramento de Serviço garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0 – versão prévia |
| [Versão prévia]: controlar o uso das Contas de Armazenamento em um Enclave Virtual | Essa iniciativa implanta políticas das Contas de Armazenamento garantindo a proteção de limite desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0 – versão prévia |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.