Mapeamento de controle do exemplo de modelo de serviços compartilhados ISO 27001

Artigo
11/22/2023

Importante

Em 11 de julho de 2026, os Blueprints (Preview) serão preteridos. Migre suas definições e atribuições de blueprint existentes para Especificações de modelo e Pilhas de implantação. Os artefatos do Blueprint devem ser convertidos em modelos JSON ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso ARM, consulte:

O artigo a seguir detalha como o exemplo de modelo de Serviços Compartilhados ISO 27001 do Azure Blueprints mapeia para os controles ISO 27001.

Os mapeamentos a seguir são para os controles ISO 27001:2013 . Use a navegação à direita para ir diretamente para um mapeamento de controle específico. Muitos dos controles mapeados são implementados com uma iniciativa de Política do Azure. Para rever a iniciativa completa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione os controles [Visualizar] Auditoria ISO 27001:2013 e implante extensões de VM específicas para dar suporte à iniciativa de política interna de requisitos de auditoria.

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias políticas, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre controles e definições de Política do Azure para este exemplo de plano de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

A.6.1.2 Separação de funções

Ter apenas um proprietário de assinatura do Azure não permite redundância administrativa. Por outro lado, ter muitos proprietários de assinatura do Azure pode aumentar o potencial de uma violação por meio de uma conta de proprietário comprometida. Este plano ajuda você a manter um número apropriado de proprietários de assinatura do Azure atribuindo duas definições de Política do Azure que auditam o número de proprietários para assinaturas do Azure. O gerenciamento de permissões de proprietário de assinatura pode ajudá-lo a implementar a separação adequada de tarefas.

Devem ser designados até 3 proprietários para a sua subscrição
Deve haver mais do que um proprietário atribuído à sua subscrição

A.8.2.1 Classificação das informações

O serviço de Avaliação de Vulnerabilidades SQL do Azure pode ajudá-lo a descobrir dados confidenciais armazenados em seus bancos de dados e inclui recomendações para classificar esses dados. Este plano atribui uma definição de Política do Azure para auditar se as vulnerabilidades identificadas durante a verificação da Avaliação de Vulnerabilidades do SQL são corrigidas.

As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas

A.9.1.2 Acesso a redes e serviços de rede

O controle de acesso baseado em função do Azure (Azure RBAC) ajuda a gerenciar quem tem acesso aos recursos do Azure. Este plano ajuda você a controlar o acesso aos recursos do Azure atribuindo sete definições de Política do Azure. Essas políticas auditam o uso de tipos e configurações de recursos que podem permitir um acesso mais permissivo aos recursos. Compreender os recursos que violam essas políticas pode ajudá-lo a tomar ações corretivas para garantir que o acesso aos recursos do Azure seja restrito a usuários autorizados.

Mostrar resultados de auditoria de VMs Linux que têm contas sem senhas
Mostrar resultados de auditoria de VMs Linux que permitem conexões remotas de contas sem senhas
As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager
Auditar VMs que não utilizam discos geridos

A.9.2.3 Gestão dos direitos de acesso privilegiados

Este plano ajuda você a restringir e controlar direitos de acesso privilegiados atribuindo quatro definições de Política do Azure para auditar contas externas com permissões de proprietário e/ou gravação e contas com permissões de proprietário e/ou gravação que não têm a autenticação multifator habilitada. O controle de acesso baseado em função do Azure (Azure RBAC) ajuda a gerenciar quem tem acesso aos recursos do Azure. Este plano também atribui três definições de Política do Azure para auditar o uso da autenticação do Azure Ative Directory para SQL Servers e Service Fabric. O uso da autenticação do Ative Directory do Azure permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft. Este plano também atribui uma definição de Política do Azure para auditar o uso de regras personalizadas do RBAC do Azure. Compreender onde as regras personalizadas do RBAC do Azure são implementadas pode ajudá-lo a verificar a necessidade e a implementação adequada, já que as regras personalizadas do RBAC do Azure são propensas a erros.

O MFA deve ser ativado em contas com permissões de proprietário na sua subscrição
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição
Contas externas com permissões de proprietário devem ser removidas da sua subscrição
As contas externas com permissões de escrita devem ser removidas da sua subscrição
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente
Auditar o uso de regras RBAC personalizadas

A.9.2.4 Gestão de informações de autenticação secretas dos utilizadores

Este plano atribui três definições de Política do Azure para auditar contas que não têm a autenticação multifator habilitada. A autenticação multifator ajuda a manter as contas seguras mesmo se uma parte das informações de autenticação for comprometida. Ao monitorar contas sem a autenticação multifator habilitada, você pode identificar contas com maior probabilidade de serem comprometidas. Este plano também atribui duas definições de Política do Azure que auditam as permissões do arquivo de senha da VM Linux para alertar se estiverem definidas incorretamente. Essa configuração permite que você tome medidas corretivas para garantir que os autenticadores não sejam comprometidos.

O MFA deve ser ativado em contas com permissões de proprietário na sua subscrição
O MFA deve ser ativado em contas com permissões de leitura na sua subscrição
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição
Mostrar resultados de auditoria de VMs Linux que não têm as permissões de arquivo passwd definidas como 0644

A.9.2.5 Revisão dos direitos de acesso dos utilizadores

O controle de acesso baseado em função do Azure (Azure RBAC) ajuda você a gerenciar quem tem acesso aos recursos no Azure. Usando o portal do Azure, você pode revisar quem tem acesso aos recursos do Azure e suas permissões. Este plano atribui quatro definições de Política do Azure a contas de auditoria que devem ser priorizadas para revisão, incluindo contas depreciadas e contas externas com permissões elevadas.

As contas preteridas devem ser removidas da sua subscrição
Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura
Contas externas com permissões de proprietário devem ser removidas da sua subscrição
As contas externas com permissões de escrita devem ser removidas da sua subscrição

A.9.2.6 Supressão ou ajustamento dos direitos de acesso

O controle de acesso baseado em função do Azure (Azure RBAC) ajuda você a gerenciar quem tem acesso aos recursos no Azure. Usando o Azure Ative Directory e o Azure RBAC, você pode atualizar as funções de usuário para refletir as alterações organizacionais. Quando necessário, as contas podem ser bloqueadas de entrar (ou removidas), o que remove imediatamente os direitos de acesso aos recursos do Azure. Este plano atribui duas definições de Política do Azure para auditar a conta depreciada que deve ser considerada para remoção.

As contas preteridas devem ser removidas da sua subscrição
Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura

A.9.4.2 Procedimentos de início de sessão seguros

Este plano atribui três definições de Política do Azure para auditar contas que não têm a autenticação multifator habilitada. O Azure AD Multi-Factor Authentication fornece segurança adicional exigindo uma segunda forma de autenticação e fornece autenticação forte. Ao monitorar contas sem a autenticação multifator habilitada, você pode identificar contas com maior probabilidade de serem comprometidas.

O MFA deve ser ativado em contas com permissões de proprietário na sua subscrição
O MFA deve ser ativado em contas com permissões de leitura na sua subscrição
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição

A.9.4.3 Sistema de gestão de palavras-passe

Este plano ajuda você a impor senhas fortes atribuindo 10 definições de Política do Azure que auditam VMs do Windows que não impõem força mínima e outros requisitos de senha. O reconhecimento de VMs que violam a política de força da senha ajuda você a tomar ações corretivas para garantir que as senhas de todas as contas de usuário de VM estejam em conformidade com a política.

Mostrar resultados de auditoria de VMs do Windows que não têm a configuração de complexidade de senha habilitada
Mostrar resultados de auditoria de VMs do Windows que não têm uma idade máxima de senha de 70 dias
Mostrar resultados de auditoria de VMs do Windows que não têm uma idade mínima de senha de 1 dia
Mostrar resultados de auditoria de VMs do Windows que não restringem o comprimento mínimo da senha a 14 caracteres
Mostrar resultados de auditoria de VMs do Windows que permitem a reutilização das 24 senhas anteriores

A.10.1.1 Política de utilização de controlos criptográficos

Este plano ajuda você a impor sua política sobre o uso de controles de criptografia atribuindo 13 definições de Política do Azure que impõem controles de criptografia específicos e auditam o uso de configurações criptográficas fracas. Entender onde seus recursos do Azure podem ter configurações criptográficas não ideais pode ajudá-lo a tomar ações corretivas para garantir que os recursos sejam configurados de acordo com sua política de segurança das informações. Especificamente, as políticas atribuídas por este plano exigem criptografia para contas de armazenamento de blob e contas de armazenamento Data Lake; exigir criptografia de dados transparente em bancos de dados SQL; auditar criptografia ausente em contas de armazenamento, bancos de dados SQL, discos de máquinas virtuais e variáveis de conta de automação; auditar conexões inseguras com contas de armazenamento, Function Apps, Web App, API Apps e Redis Cache; auditar criptografia de senha de máquina virtual fraca; e auditar a comunicação não criptografada do Service Fabric.

O aplicativo de função só deve ser acessível por HTTPS
A Aplicação Web deve ser acessível apenas através de HTTPS
O aplicativo de API só deve ser acessível por HTTPS
Mostrar resultados de auditoria de VMs do Windows que não armazenam senhas usando criptografia reversível
A encriptação do disco tem de ser aplicada em máquinas virtuais
As variáveis de conta de automação devem ser criptografadas
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas
A transferência segura para contas de armazenamento deve ser ativada
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada

A.12.4.1 Registo de eventos

Este esquema ajuda você a garantir que os eventos do sistema sejam registrados atribuindo sete definições de Política do Azure que auditam as configurações de log nos recursos do Azure. Os logs de diagnóstico fornecem informações sobre as operações que foram executadas nos recursos do Azure.

Implantação do agente de dependência de auditoria - Imagem de VM (SO) não listada
Implantação do agente de dependência de auditoria em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
[Pré-visualização]: Implementação do Agente do Audit Log Analytics - Imagem de VM (SO) não listada
Implantação do agente do Audit Log Analytics em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
Definição de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.4.3 Registos do administrador e do operador

Implantação do agente de dependência de auditoria - Imagem de VM (SO) não listada
Implantação do agente de dependência de auditoria em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
[Pré-visualização]: Implementação do Agente do Audit Log Analytics - Imagem de VM (SO) não listada
Implantação do agente do Audit Log Analytics em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
Definição de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.4.4 Sincronização de relógios

Este esquema ajuda você a garantir que os eventos do sistema sejam registrados atribuindo sete definições de Política do Azure que auditam as configurações de log nos recursos do Azure. Os logs do Azure dependem de relógios internos sincronizados para criar um registro de eventos correlacionado ao tempo entre recursos.

Implantação do agente de dependência de auditoria - Imagem de VM (SO) não listada
Implantação do agente de dependência de auditoria em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
[Pré-visualização]: Implementação do Agente do Audit Log Analytics - Imagem de VM (SO) não listada
Implantação do agente do Audit Log Analytics em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
Definição de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.5.1 Instalação de software em sistemas operacionais

O controle de aplicativo adaptável é uma solução da Central de Segurança do Azure que ajuda você a controlar quais aplicativos podem ser executados em suas VMs localizadas no Azure. Este plano atribui uma definição de Política do Azure que monitoriza as alterações ao conjunto de aplicações permitidas. Esse recurso ajuda você a controlar a instalação de software e aplicativos em VMs do Azure.

Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas

A.12.6.1 Gestão de vulnerabilidades técnicas

Este plano ajuda você a gerenciar vulnerabilidades do sistema de informações atribuindo cinco definições de Política do Azure que monitoram atualizações ausentes do sistema, vulnerabilidades do sistema operacional, vulnerabilidades do SQL e vulnerabilidades da máquina virtual na Central de Segurança do Azure. A Central de Segurança do Azure fornece recursos de relatório que permitem que você tenha informações em tempo real sobre o estado de segurança dos recursos implantados do Azure.

Monitorizar o Endpoint Protection em falta no Centro de Segurança do Azure
As atualizações de sistema devem ser instaladas nos seus computadores
As vulnerabilidades na configuração de segurança nos computadores devem ser remediadas
As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades

A.12.6.2 Restrições à instalação de software

O controle de aplicativo adaptável é uma solução da Central de Segurança do Azure que ajuda você a controlar quais aplicativos podem ser executados em suas VMs localizadas no Azure. Este plano atribui uma definição de Política do Azure que monitoriza as alterações ao conjunto de aplicações permitidas. As restrições à instalação de software podem ajudá-lo a reduzir a probabilidade de introdução de vulnerabilidades de software.

Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas

A.13.1.1 Controlos de rede

Este plano ajuda você a gerenciar e controlar redes atribuindo uma definição de Política do Azure que monitora grupos de segurança de rede com regras permissivas. As regras demasiado permissivas podem permitir o acesso não intencional à rede e devem ser revistas. Este plano também atribui três definições de Política do Azure que monitoram pontos de extremidade, aplicativos e contas de armazenamento desprotegidos. Pontos de extremidade e aplicativos que não são protegidos por um firewall e contas de armazenamento com acesso irrestrito podem permitir acesso não intencional às informações contidas no sistema de informações.

O acesso através de terminais voltados para a Internet deve ser restrito
As contas de armazenamento devem restringir o acesso à rede

A.13.2.1 Políticas e procedimentos de transferência de informações

O plano ajuda a garantir que a transferência de informações com os serviços do Azure seja segura atribuindo duas definições de Política do Azure para auditar conexões inseguras com contas de armazenamento e o Cache do Azure para Redis.

Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas
A transferência segura para contas de armazenamento deve ser ativada

Próximos passos

Agora que você analisou o mapeamento de controle do projeto de Serviços Compartilhados ISO 27001, visite os seguintes artigos para saber mais sobre a arquitetura e como implantar este exemplo:

Modelo de serviços compartilhados ISO 27001 - Visão geral Modelo de serviços compartilhados ISO 27001 - Etapas de implantação

Artigos adicionais sobre esquemas e como os utilizar:

Saiba mais sobre o ciclo de vida do esquema.
Compreenda como utilizar parâmetros estáticos e dinâmicos.
Aprenda a personalizar a ordem de sequenciação do esquema.
Saiba como utilizar o bloqueio de recursos de esquema.
Saiba como atualizar as atribuições existentes.