Linha de base de segurança do Azure para Azure Policy
Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 a Azure Policy. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Azure Policy.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, elas são listadas nessa linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a Azure Policy foram excluídos. Para ver como Azure Policy é mapeado completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança Azure Policy.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Azure Policy, o que pode resultar em considerações de segurança maiores.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | MGMT/Governança |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente em repouso | Falso |
Gerenciamento de identidades
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.
IM-3: gerenciar identidades de aplicativos de maneira segura e automática
Recursos
Identidades gerenciadas
Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | Falso | Cliente |
Notas de recurso: Azure Policy usa uma identidade gerenciada para a correção de recursos não compatíveis.
Diretrizes de configuração: cada atribuição de Azure Policy pode ser associada a apenas uma identidade gerenciada. No entanto, a identidade gerenciada pode ser atribuída a várias funções. A configuração ocorre em duas etapas: primeiro, crie uma identidade gerenciada atribuída pelo sistema ou pelo usuário e conceda a ela as funções necessárias.
Referência: corrigir recursos não compatíveis com Azure Policy
Proteção de dados
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.
DP-3: criptografar dados confidenciais ativos
Recursos
Criptografia de dados em trânsito
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Notas sobre o recurso: Azure Policy aproveita a criptografia padrão da Microsoft para dados em trânsito.
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Referência: criptografia dupla
Monitoramento do Microsoft Defender para Nuvem
Definições internas do Azure Policy – Microsoft.GuestConfiguration:
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, seus computadores devem usar a versão mais recente do protocolo criptográfico padrão do setor, TLS (Transport Layer Security). O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
DP-4: habilitar a criptografia de dados inativos por padrão
Recursos
Criptografia de dados em repouso usando chaves de plataforma
Descrição: há suporte para a criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Notas sobre o recurso: Azure Policy aproveita a criptografia padrão da Microsoft para dados inativos.
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Referência: criptografia dupla
Próximas etapas
- Confira a Visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure