Mapeamento de controlo da amostra de projeto iso 27001 dos serviços partilhadosControl mapping of the ISO 27001 Shared Services blueprint sample

O artigo seguinte detalha como o Azure Blueprints ISO 27001 Shared Services mapeia mapas de amostras para os controlos ISO 27001.The following article details how the Azure Blueprints ISO 27001 Shared Services blueprint sample maps to the ISO 27001 controls. Para obter mais informações sobre os controlos, consulte a ISO 27001.For more information about the controls, see ISO 27001.

Os seguintes mapeamentos são para os controlos ISO 27001:2013.The following mappings are to the ISO 27001:2013 controls. Utilize a navegação no direito de saltar diretamente para um mapeamento de controlo específico.Use the navigation on the right to jump directly to a specific control mapping. Muitos dos controlos mapeados são implementados com uma iniciativa da Política Azure.Many of the mapped controls are implemented with an Azure Policy initiative. Para rever a iniciativa completa, abra a Política no portal Azure e selecione a página Definições.To review the complete initiative, open Policy in the Azure portal and select the Definitions page. Em seguida, encontre e selecione os [ ] controlos iso 27001:2013 da Auditoria de Pré-visualização e implemente extensões VM específicas para apoiar os requisitos de auditoria integrados na iniciativa política.Then, find and select the [Preview] Audit ISO 27001:2013 controls and deploy specific VM Extensions to support audit requirements built-in policy initiative.

Importante

Cada controlo abaixo está associado a uma ou mais definições da Política Azure.Each control below is associated with one or more Azure Policy definitions. Estas políticas podem ajudá-lo a avaliar o cumprimento do controlo; no entanto, muitas vezes não há um para um ou um jogo completo entre um controlo e uma ou mais políticas.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Como tal, a Conformidade na Política Azure refere-se apenas às próprias políticas; isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo.As such, Compliant in Azure Policy refers only to the policies themselves; this doesn't ensure you're fully compliant with all requirements of a control. Além disso, a norma de conformidade inclui controlos que não são abordados por nenhuma definição da Política Azure neste momento.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Portanto, o cumprimento da Política Azure é apenas uma visão parcial do seu estado de conformidade geral.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. As associações entre controlos e definições de Política Azure para esta amostra de projeto de conformidade podem mudar ao longo do tempo.The associations between controls and Azure Policy definitions for this compliance blueprint sample may change over time. Para ver a história da mudança, consulte o GitHub Commit History.To view the change history, see the GitHub Commit History.

A.6.1.2 Segregação de funçõesA.6.1.2 Segregation of duties

Ter apenas um proprietário de assinatura Azure não permite despedimento administrativo.Having only one Azure subscription owner doesn't allow for administrative redundancy. Inversamente, ter demasiados proprietários de subscrições Azure pode aumentar o potencial de uma violação através de uma conta de proprietário comprometida.Conversely, having too many Azure subscription owners can increase the potential for a breach via a compromised owner account. Este projeto ajuda-o a manter um número adequado de proprietários de subscrições da Azure, atribuindo duas definições da Azure Policy que auditam o número de proprietários para subscrições Azure.This blueprint helps you maintain an appropriate number of Azure subscription owners by assigning two Azure Policy definitions that audit the number of owners for Azure subscriptions. Gerir permissões de proprietário de subscrição pode ajudá-lo a implementar a separação adequada de deveres.Managing subscription owner permissions can help you implement appropriate separation of duties.

  • Um máximo de 3 proprietários deve ser designado para a sua subscriçãoA maximum of 3 owners should be designated for your subscription
  • Deve haver mais de um proprietário atribuído à sua subscriçãoThere should be more than one owner assigned to your subscription

A.8.2.1 Classificação da informaçãoA.8.2.1 Classification of information

O serviço de Avaliação de Vulnerabilidades SQL da Azure pode ajudá-lo a descobrir dados sensíveis armazenados nas suas bases de dados e inclui recomendações para classificar esses dados.Azure's SQL Vulnerability Assessment service can help you discover sensitive data stored in your databases and includes recommendations to classify that data. Esta planta atribui uma definição de Política Azure à auditoria de que as vulnerabilidades identificadas durante a avaliação da vulnerabilidade SQL são remediadas.This blueprint assigns an Azure Policy definition to audit that vulnerabilities identified during SQL Vulnerability Assessment scan are remediated.

  • As vulnerabilidades nas suas bases de dados SQL devem ser remediadasVulnerabilities on your SQL databases should be remediated

A.9.1.2 Acesso a redes e serviços de redeA.9.1.2 Access to networks and network services

O controlo de acesso baseado em funções Azure (Azure RBAC) ajuda a gerir quem tem acesso aos recursos Azure.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Esta planta ajuda-o a controlar o acesso aos recursos da Azure, atribuindo sete definições de Política Azure.This blueprint helps you control access to Azure resources by assigning seven Azure Policy definitions. Estas políticas auditam a utilização de tipos de recursos e configurações que podem permitir um acesso mais permissivo aos recursos.These policies audit use of resource types and configurations that may allow more permissive access to resources. Compreender os recursos que estão a violar estas políticas pode ajudá-lo a tomar medidas corretivas para garantir que os recursos Azure de acesso são restritos aos utilizadores autorizados.Understanding resources that are in violation of these policies can help you take corrective actions to ensure access Azure resources is restricted to authorized users.

  • Mostrar resultados de auditoria de VMs Linux que têm contas sem senhasShow audit results from Linux VMs that have accounts without passwords
  • Mostrar resultados de auditoria de VMs Linux que permitem ligações remotas a partir de contas sem senhasShow audit results from Linux VMs that allow remote connections from accounts without passwords
  • As contas de armazenamento devem ser migradas para novos recursos do Gestor de Recursos AzureStorage accounts should be migrated to new Azure Resource Manager resources
  • Máquinas virtuais devem ser migradas para novos recursos do Azure Resource ManagerVirtual machines should be migrated to new Azure Resource Manager resources
  • VMs de auditoria que não usam discos geridosAudit VMs that do not use managed disks

A.9.2.3 Gestão de direitos de acesso privilegiadosA.9.2.3 Management of privileged access rights

Este projeto ajuda-o a restringir e a controlar os direitos de acesso privilegiados, atribuindo quatro definições de Política Azure para auditar contas externas com o proprietário e/ou escrever permissões e contas com o proprietário e/ou escrever permissões que não têm autenticação de vários fatores ativadas.This blueprint helps you restrict and control privileged access rights by assigning four Azure Policy definitions to audit external accounts with owner and/or write permissions and accounts with owner and/or write permissions that don't have multi-factor authentication enabled. O controlo de acesso baseado em funções Azure (Azure RBAC) ajuda a gerir quem tem acesso aos recursos Azure.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Esta planta também atribui três definições de Política Azure para auditar a utilização da autenticação do Azure Ative Directory para servidores SQL e Tecido de Serviço.This blueprint also assigns three Azure Policy definitions to audit use of Azure Active Directory authentication for SQL Servers and Service Fabric. A utilização da autenticação do Azure Ative Directory permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft.Using Azure Active Directory authentication enables simplified permission management and centralized identity management of database users and other Microsoft services. Esta planta também atribui uma definição de Política Azure para auditar o uso de regras Azure RBAC personalizadas.This blueprint also assigns an Azure Policy definition to audit the use of custom Azure RBAC rules. Compreender onde as regras Azure RBAC personalizadas são implementadas pode ajudá-lo a verificar necessidades e implementação adequada, uma vez que as regras personalizadas do Azure RBAC são propensas a erros.Understanding where custom Azure RBAC rules are implement can help you verify need and proper implementation, as custom Azure RBAC rules are error prone.

  • O MFA deve ser ativado em contas com permissões do proprietário na sua subscriçãoMFA should be enabled on accounts with owner permissions on your subscription
  • A MFA deve ser ativada em contas com permissões de escrita na sua subscriçãoMFA should be enabled accounts with write permissions on your subscription
  • As contas externas com permissões do proprietário devem ser removidas da sua subscriçãoExternal accounts with owner permissions should be removed from your subscription
  • As contas externas com permissões de escrita devem ser removidas da sua subscriçãoExternal accounts with write permissions should be removed from your subscription
  • Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQLAn Azure Active Directory administrator should be provisioned for SQL servers
  • Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do clienteService Fabric clusters should only use Azure Active Directory for client authentication
  • Auditar o uso das regras personalizadas do RBACAudit usage of custom RBAC rules

A.9.2.4 Gestão de informação secreta de autenticação dos utilizadoresA.9.2.4 Management of secret authentication information of users

Este projeto atribui três definições de Política Azure a contas de auditoria que não têm autenticação multi-factor ativada.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. A autenticação multi-factor ajuda a manter as contas seguras mesmo que uma peça de informação de autenticação esteja comprometida.Multi-factor authentication helps keep accounts secure even if one piece of authentication information is compromised. Ao monitorizar contas sem autenticação multi-factor ativada, pode identificar contas que possam ser mais comprometidas.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised. Esta planta também atribui duas definições de Política Azure que auditam permissões de ficheiros de senha Linux VM para alertar se estiverem definidas incorretamente.This blueprint also assigns two Azure Policy definitions that audit Linux VM password file permissions to alert if they're set incorrectly. Esta configuração permite-lhe tomar medidas corretivas para garantir que os autenticadores não estão comprometidos.This setup enables you to take corrective action to ensure authenticators aren't compromised.

  • O MFA deve ser ativado em contas com permissões do proprietário na sua subscriçãoMFA should be enabled on accounts with owner permissions on your subscription
  • MFA deve ser ativado em contas com permissões de leitura na sua subscriçãoMFA should be enabled on accounts with read permissions on your subscription
  • A MFA deve ser ativada em contas com permissões de escrita na sua subscriçãoMFA should be enabled accounts with write permissions on your subscription
  • Mostre os resultados da auditoria dos VMs Linux que não têm as permissões de ficheiros passwd definidas para 0644Show audit results from Linux VMs that do not have the passwd file permissions set to 0644

A.9.2.5 Revisão dos direitos de acesso ao utilizadorA.9.2.5 Review of user access rights

O controlo de acesso baseado em funções (Azure RBAC) ajuda-o a gerir quem tem acesso a recursos em Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Utilizando o portal Azure, pode rever quem tem acesso aos recursos do Azure e às suas permissões.Using the Azure portal, you can review who has access to Azure resources and their permissions. Este projeto atribui quatro definições de Política Azure a contas de auditoria que devem ser priorizadas para revisão, incluindo contas amortizadas e contas externas com permissões elevadas.This blueprint assigns four Azure Policy definitions to audit accounts that should be prioritized for review, including depreciated accounts and external accounts with elevated permissions.

  • As contas preprecadas devem ser removidas da sua subscriçãoDeprecated accounts should be removed from your subscription
  • Contas pregridadas com permissões do proprietário devem ser removidas da sua subscriçãoDeprecated accounts with owner permissions should be removed from your subscription
  • As contas externas com permissões do proprietário devem ser removidas da sua subscriçãoExternal accounts with owner permissions should be removed from your subscription
  • As contas externas com permissões de escrita devem ser removidas da sua subscriçãoExternal accounts with write permissions should be removed from your subscription

A.9.2.6 Remoção ou ajustamento dos direitos de acessoA.9.2.6 Removal or adjustment of access rights

O controlo de acesso baseado em funções (Azure RBAC) ajuda-o a gerir quem tem acesso a recursos em Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Utilizando o Azure Ative Directory e o Azure RBAC, pode atualizar as funções dos utilizadores para refletir as alterações organizacionais.Using Azure Active Directory and Azure RBAC, you can update user roles to reflect organizational changes. Quando necessário, as contas podem ser bloqueadas de iniciar sessão (ou removida), o que elimina imediatamente os direitos de acesso aos recursos da Azure.When needed, accounts can be blocked from signing in (or removed), which immediately removes access rights to Azure resources. Este projeto atribui duas definições da Política Azure à auditoria de conta amortizada que deve ser considerada para remoção.This blueprint assigns two Azure Policy definitions to audit depreciated account that should be considered for removal.

  • As contas preprecadas devem ser removidas da sua subscriçãoDeprecated accounts should be removed from your subscription
  • Contas pregridadas com permissões do proprietário devem ser removidas da sua subscriçãoDeprecated accounts with owner permissions should be removed from your subscription

A.9.4.2 Procedimentos de início de sessão segurosA.9.4.2 Secure log-on procedures

Este projeto atribui três definições de Política Azure a contas de auditoria que não têm autenticação multi-factor ativada.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. A Azure AD Multi-Factor Authentication proporciona segurança adicional exigindo uma segunda forma de autenticação e proporciona uma autenticação forte.Azure AD Multi-Factor Authentication provides additional security by requiring a second form of authentication and delivers strong authentication. Ao monitorizar contas sem autenticação multi-factor ativada, pode identificar contas que possam ser mais comprometidas.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised.

  • O MFA deve ser ativado em contas com permissões do proprietário na sua subscriçãoMFA should be enabled on accounts with owner permissions on your subscription
  • MFA deve ser ativado em contas com permissões de leitura na sua subscriçãoMFA should be enabled on accounts with read permissions on your subscription
  • A MFA deve ser ativada em contas com permissões de escrita na sua subscriçãoMFA should be enabled accounts with write permissions on your subscription

Sistema de gestão de palavras-passe A.9.4.3A.9.4.3 Password management system

Este plano ajuda-o a impor senhas fortes atribuindo 10 definições de Política Azure que auditam VMs do Windows que não impõem a força mínima e outros requisitos de senha.This blueprint helps you enforce strong passwords by assigning 10 Azure Policy definitions that audit Windows VMs that don't enforce minimum strength and other password requirements. A sensibilização dos VMs em violação da política de força de senha ajuda-o a tomar ações corretivas para garantir que as palavras-passe de todas as contas de utilizador VM estão em conformidade com a política.Awareness of VMs in violation of the password strength policy helps you take corrective actions to ensure passwords for all VM user accounts are compliant with policy.

  • Mostrar os resultados da auditoria dos VM do Windows que não têm a definição de complexidade da palavra-passe ativadaShow audit results from Windows VMs that do not have the password complexity setting enabled
  • Mostrar resultados de auditoria de VMs do Windows que não têm uma idade máxima de senha de 70 diasShow audit results from Windows VMs that do not have a maximum password age of 70 days
  • Mostrar os resultados da auditoria dos VM do Windows que não têm uma idade mínima de senha de 1 diaShow audit results from Windows VMs that do not have a minimum password age of 1 day
  • Mostrar os resultados da auditoria dos VM do Windows que não restringem o comprimento mínimo da palavra-passe a 14 caracteresShow audit results from Windows VMs that do not restrict the minimum password length to 14 characters
  • Mostrar resultados de auditoria a VMs do Windows que permitem a reutilização das 24 palavras-passe anterioresShow audit results from Windows VMs that allow re-use of the previous 24 passwords

A.10.1.1 Política sobre a utilização de controlos criptográficosA.10.1.1 Policy on the use of cryptographic controls

Esta planta ajuda-o a impor a sua política sobre a utilização de controlos criptógrafos, atribuindo 13 definições de Política Azure que impõem controlos criptógrafos específicos e auditam o uso de configurações criptográficas fracas.This blueprint helps you enforce your policy on the use of cryptograph controls by assigning 13 Azure Policy definitions that enforce specific cryptograph controls and audit use of weak cryptographic settings. Compreender onde os seus recursos Azure podem ter configurações criptográficas não ideais pode ajudá-lo a tomar ações corretivas para garantir que os recursos são configurados de acordo com a sua política de segurança de informação.Understanding where your Azure resources may have non-optimal cryptographic configurations can help you take corrective actions to ensure resources are configured in accordance with your information security policy. Especificamente, as políticas atribuídas por esta planta requerem encriptação para contas de armazenamento de bolhas e contas de armazenamento de lago de dados; requerer encriptação de dados transparentes nas bases de dados SQL; auditoria em falta de encriptação em contas de armazenamento, bases de dados SQL, discos de máquinas virtuais e variáveis de conta de automação; ligações inseguras de auditoria a contas de armazenamento, Apps de Função, Web App, API Apps e Redis Cache; encriptação de senha de máquina virtual fraca; e auditoria comunicação de tecido de serviço não encriptado.Specifically, the policies assigned by this blueprint require encryption for blob storage accounts and data lake storage accounts; require transparent data encryption on SQL databases; audit missing encryption on storage accounts, SQL databases, virtual machine disks, and automation account variables; audit insecure connections to storage accounts, Function Apps, Web App, API Apps, and Redis Cache; audit weak virtual machine password encryption; and audit unencrypted Service Fabric communication.

  • A App de função só deve estar acessível através do HTTPSFunction App should only be accessible over HTTPS
  • A Aplicação Web só deve ser acessível em HTTPSWeb Application should only be accessible over HTTPS
  • A API App só deve estar acessível em HTTPSAPI App should only be accessible over HTTPS
  • Mostrar resultados de auditoria de VMs do Windows que não armazenam senhas usando encriptação reversívelShow audit results from Windows VMs that do not store passwords using reversible encryption
  • A encriptação do disco deve ser aplicada em máquinas virtuaisDisk encryption should be applied on virtual machines
  • As variáveis de conta de automação devem ser encriptadasAutomation account variables should be encrypted
  • Apenas devem ser ativadas ligações seguras à sua Cache Azure para RedisOnly secure connections to your Azure Cache for Redis should be enabled
  • A transferência segura para contas de armazenamento deve ser ativadaSecure transfer to storage accounts should be enabled
  • Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
  • A encriptação transparente de dados nas bases de dados SQL deve ser ativadaTransparent Data Encryption on SQL databases should be enabled

A.12.4.1 Registo de eventosA.12.4.1 Event logging

Esta planta ajuda-o a garantir que os eventos do sistema são registados atribuindo sete definições de Política Azure que auditam as definições de registo nos recursos do Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Os registos de diagnóstico fornecem informações sobre as operações que foram realizadas dentro dos recursos da Azure.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Implementação de agente de dependência de auditoria - VM Image (OS) não listadoAudit Dependency agent deployment - VM Image (OS) unlisted
  • Implementação de agente de dependência de auditoria em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Pré-visualização]: Implementação do agente de análise de registo de auditoria - VM Image (OS) não listado [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Implementação de agente de auditação Log Analytics em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Definição de diagnóstico de auditoriaAudit diagnostic setting
  • A auditoria no servidor SQL deve ser ativadaAuditing on SQL server should be enabled

A.12.4.3 Registos de administrador e operadorA.12.4.3 Administrator and operator logs

Esta planta ajuda-o a garantir que os eventos do sistema são registados atribuindo sete definições de Política Azure que auditam as definições de registo nos recursos do Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Os registos de diagnóstico fornecem informações sobre as operações que foram realizadas dentro dos recursos da Azure.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Implementação de agente de dependência de auditoria - VM Image (OS) não listadoAudit Dependency agent deployment - VM Image (OS) unlisted
  • Implementação de agente de dependência de auditoria em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Pré-visualização]: Implementação do agente de análise de registo de auditoria - VM Image (OS) não listado [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Implementação de agente de auditação Log Analytics em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Definição de diagnóstico de auditoriaAudit diagnostic setting
  • A auditoria no servidor SQL deve ser ativadaAuditing on SQL server should be enabled

A.12.4.4 Sincronização do relógioA.12.4.4 Clock synchronization

Esta planta ajuda-o a garantir que os eventos do sistema são registados atribuindo sete definições de Política Azure que auditam as definições de registo nos recursos do Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Os registos Azure dependem de relógios internos sincronizados para criar um registo correlacionado com o tempo de eventos entre recursos.Azure logs rely on synchronized internal clocks to create a time-correlated record of events across resources.

  • Implementação de agente de dependência de auditoria - VM Image (OS) não listadoAudit Dependency agent deployment - VM Image (OS) unlisted
  • Implementação de agente de dependência de auditoria em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Pré-visualização]: Implementação do agente de análise de registo de auditoria - VM Image (OS) não listado [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Implementação de agente de auditação Log Analytics em conjuntos de escala de máquina virtual - VM Image (OS) não listadoAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Definição de diagnóstico de auditoriaAudit diagnostic setting
  • A auditoria no servidor SQL deve ser ativadaAuditing on SQL server should be enabled

A.12.5.1 Instalação de software em sistemas operacionaisA.12.5.1 Installation of software on operational systems

O controlo de aplicações adaptativas é a solução do Azure Security Center que o ajuda a controlar quais aplicações podem ser executadas nos seus VMs localizados em Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Esta planta atribui uma definição de Política Azure que monitoriza as alterações ao conjunto de aplicações permitidas.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. Esta capacidade ajuda-o a controlar a instalação de software e aplicações em VMs Azure.This capability helps you control installation of software and applications on Azure VMs.

  • Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinasAdaptive application controls for defining safe applications should be enabled on your machines

A.12.6.1 Gestão de vulnerabilidades técnicasA.12.6.1 Management of technical vulnerabilities

Esta planta ajuda-o a gerir as vulnerabilidades do sistema de informação, atribuindo cinco definições de Política Azure que monitorizam atualizações de sistemas em falta, vulnerabilidades do sistema operativo, vulnerabilidades de SQL e vulnerabilidades de máquinas virtuais no Azure Security Center.This blueprint helps you manage information system vulnerabilities by assigning five Azure Policy definitions that monitor missing system updates, operating system vulnerabilities, SQL vulnerabilities, and virtual machine vulnerabilities in Azure Security Center. O Azure Security Center fornece capacidades de reporte que lhe permitem ter informações em tempo real sobre o estado de segurança dos recursos Azure implantados.Azure Security Center provides reporting capabilities that enable you to have real-time insight into the security state of deployed Azure resources.

  • Monitor que falta proteção de ponto final no Centro de Segurança AzureMonitor missing Endpoint Protection in Azure Security Center
  • As atualizações de sistema devem ser instaladas nos seus computadoresSystem updates should be installed on your machines
  • As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadasVulnerabilities in security configuration on your machines should be remediated
  • As vulnerabilidades nas suas bases de dados SQL devem ser remediadasVulnerabilities on your SQL databases should be remediated
  • As vulnerabilidades devem ser remediadas por uma solução de Avaliação de VulnerabilidadesVulnerabilities should be remediated by a Vulnerability Assessment solution

A.12.6.2 Restrições à instalação de softwareA.12.6.2 Restrictions on software installation

O controlo de aplicações adaptativas é a solução do Azure Security Center que o ajuda a controlar quais aplicações podem ser executadas nos seus VMs localizados em Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Esta planta atribui uma definição de Política Azure que monitoriza as alterações ao conjunto de aplicações permitidas.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. As restrições à instalação de software podem ajudá-lo a reduzir a probabilidade de introdução de vulnerabilidades de software.Restrictions on software installation can help you reduce the likelihood of introduction of software vulnerabilities.

  • Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinasAdaptive application controls for defining safe applications should be enabled on your machines

A.13.1.1 Controlos de redeA.13.1.1 Network controls

Este projeto ajuda-o a gerir e a controlar redes atribuindo uma definição de Política Azure que monitoriza grupos de segurança de rede com regras permissivas.This blueprint helps you manage and control networks by assigning an Azure Policy definition that monitors network security groups with permissive rules. As regras demasiado permissivas podem permitir o acesso não intencional à rede e devem ser revistas.Rules that are too permissive may allow unintended network access and should be reviewed. Esta planta também atribui três definições de Política Azure que monitorizam pontos finais, aplicações e contas de armazenamento desprotegidas.This blueprint also assigns three Azure Policy definitions that monitor unprotected endpoints, applications, and storage accounts. Pontos finais e aplicações que não estejam protegidas por uma firewall, e contas de armazenamento com acesso sem restrições podem permitir o acesso não intencional a informações contidas no sistema de informação.Endpoints and applications that aren't protected by a firewall, and storage accounts with unrestricted access can allow unintended access to information contained within the information system.

  • O acesso através da Internet face ao ponto final deve ser restringidoAccess through Internet facing endpoint should be restricted
  • As contas de armazenamento devem restringir o acesso à redeStorage accounts should restrict network access

A.13.2.1 Políticas e procedimentos de transferência de informaçãoA.13.2.1 Information transfer policies and procedures

O plano ajuda-o a garantir que a transferência de informação com os serviços Azure é segura, atribuindo duas definições de Política Azure para auditar ligações inseguras às contas de armazenamento e à Cache Redis.The blueprint helps you ensure information transfer with Azure services is secure by assigning two Azure Policy definitions to audit insecure connections to storage accounts and Redis Cache.

  • Apenas devem ser ativadas ligações seguras à sua Cache Azure para RedisOnly secure connections to your Azure Cache for Redis should be enabled
  • A transferência segura para contas de armazenamento deve ser ativadaSecure transfer to storage accounts should be enabled

Passos seguintesNext steps

Agora que reviu o mapeamento de controlo do projeto iso 27001 Shared Services, visite os seguintes artigos para saber sobre a arquitetura e como implementar esta amostra:Now that you've reviewed the control mapping of the ISO 27001 Shared Services blueprint, visit the following articles to learn about the architecture and how to deploy this sample:

Artigos adicionais sobre esquemas e como os utilizar:Additional articles about blueprints and how to use them: