Definições de iniciativa interna da Política do Azure
Esta página é um índice das definições de iniciativa interna da Política do Azure.
O nome em cada link interno para a fonte de definição da iniciativa no repositório GitHub da Política do Azure. Os built-ins são agrupados pela propriedade category em metadados. Para ir para uma categoria específica, use Ctrl-F para o recurso de pesquisa do seu navegador.
Automanage
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Preview]: Configuração de auditoria em relação às práticas recomendadas de gerenciamento automático | As Práticas Recomendadas de Máquina de Gerenciamento Automático garantem que os recursos gerenciados sejam configurados de acordo com o estado desejado, conforme definido no Perfil de Configuração atribuído. | 6 | 1.0.1-Pré-visualização |
ChangeTrackingAndInventory
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Ativar o ChangeTracking e o Inventário para máquinas virtuais compatíveis com Arc | Habilite o ChangeTracking e o Inventory para máquinas virtuais habilitadas para Arc. Usa o ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir os locais aplicáveis. | 6 | 1.0.0-pré-visualização |
| [Pré-visualização]: Ativar o ChangeTracking e o Inventário para conjuntos de dimensionamento de máquinas virtuais | Habilite o ChangeTracking e o Inventory para conjuntos de dimensionamento de máquinas virtuais. Usa a ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir locais aplicáveis e identidade atribuída pelo usuário para o Agente do Azure Monitor. | 7 | 1.0.0-pré-visualização |
| [Pré-visualização]: Ativar o ChangeTracking e o Inventário para máquinas virtuais | Habilite o ChangeTracking e o Inventory para máquinas virtuais. Usa a ID da Regra de Coleta de Dados como parâmetro e solicita uma opção para inserir locais aplicáveis e identidade atribuída pelo usuário para o Agente do Azure Monitor. | 7 | 1.0.0-pré-visualização |
Cosmos DB
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Habilitar a política de taxa de transferência do Azure Cosmos DB | Habilite o controle de taxa de transferência para recursos do Azure Cosmos DB no escopo especificado (Grupo de gerenciamento, Assinatura ou grupo de recursos). Usa a taxa de transferência máxima como parâmetro. Use esta política para ajudar a impor o controle de taxa de transferência por meio do provedor de recursos. | 2 | 1.0.0 |
Geral
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Permitir recursos de custo de uso | Permitir que os recursos sejam implantados, exceto MCPP, M365. | 2 | 1.0.0 |
Configuração de Convidado
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Implementar pré-requisitos para ativar políticas de Configuração de Convidado em máquinas virtuais utilizando a identidade gerida atribuída pelo utilizador | Essa iniciativa adiciona uma identidade gerenciada atribuída pelo usuário e implanta a extensão de Configuração de Convidado apropriada à plataforma em máquinas virtuais qualificadas para serem monitoradas por políticas de Configuração de Convidado. Este é um pré-requisito para todas as políticas de Configuração de Convidado e deve ser atribuído ao escopo de atribuição de política antes de usar qualquer política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | 3 | 1.0.0-pré-visualização |
| [Pré-visualização]: as máquinas Windows devem cumprir os requisitos para a linha de base de segurança de computação do Azure | Esta iniciativa audita máquinas Windows com configurações que não atendem à linha de base de segurança de computação do Azure. Para mais detalhes, por favor visite https://aka.ms/gcpol | 29 | 2.0.1-Pré-visualização |
| Auditar máquinas com configurações de segurança de senha inseguras | Esta iniciativa implanta os requisitos de política e audita máquinas com configurações de segurança de senha inseguras. Para obter mais informações sobre as políticas de Configuração de Convidado, visite https://aka.ms/gcpol | 9 | 1.1.0 |
| Configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) na máquina Windows (incluindo pré-requisitos) | Cria uma atribuição de Configuração de Convidado (incluindo pré-requisitos) para configurar a versão de protocolo seguro especificada (TLS 1.1 ou TLS 1.2) na máquina Windows. Para mais detalhes, visite https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| Implantar pré-requisitos para habilitar políticas de Configuração de Convidado em máquinas virtuais | Esta iniciativa adiciona uma identidade gerenciada atribuída ao sistema e implanta a extensão de Configuração de Convidado apropriada à plataforma em máquinas virtuais qualificadas para serem monitoradas por políticas de Configuração de Convidado. Este é um pré-requisito para todas as políticas de Configuração de Convidado e deve ser atribuído ao escopo de atribuição de política antes de usar qualquer política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: utilize a Integridade da Imagem para garantir que apenas imagens fidedignas são implementadas | Use a Integridade da Imagem para garantir que os clusters AKS implantem apenas imagens confiáveis habilitando a Integridade da Imagem e os Complementos de Política do Azure em clusters AKS. O Complemento de Integridade de Imagem e o Complemento de Política do Azure são pré-requisitos para usar o Integridade da Imagem para verificar se a imagem está assinada na implantação. Para mais informações, visite https://aka.ms/aks/image-integrity. | 3 | 1.1.0-Pré-visualização |
| [Pré-visualização]: As salvaguardas de implementação devem ajudar a orientar os programadores para as melhores práticas recomendadas pelo AKS | Uma coleção de práticas recomendadas do Kubernetes recomendadas pelo Serviço Kubernetes do Azure (AKS). Para obter a melhor experiência, use as salvaguardas de implantação para atribuir esta iniciativa de política: https://aka.ms/aks/deployment-safeguards. O Azure Policy Add-On para AKS é um pré-requisito para aplicar essas práticas recomendadas aos seus clusters. Para obter instruções sobre como habilitar o Complemento de Política do Azure, vá para aka.ms/akspolicydoc | 19 | 1.7.0-Pré-visualização |
| Padrões de linha de base de segurança de pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Padrões restritos de segurança do pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identidade Gerida
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Preview]: As credenciais federadas de identidade gerenciada devem ser de tipos aprovados de fontes de federação aprovadas | Controle o uso de credenciais federadas para Identidades Gerenciadas. Essa iniciativa inclui políticas para bloquear completamente as credenciais de identidade federada, limitar o uso a tipos específicos de provedores de federação e limitar as ações de federação a fontes aprovadas. | 3 | 1.0.0-pré-visualização |
Monitorização
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Configurar agentes do Azure Defender para SQL em máquinas virtuais | Configure máquinas virtuais para instalar automaticamente os agentes do Azure Defender for SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. Esta política só se aplica a VMs em algumas regiões. | 2 | 1.0.0-pré-visualização |
| Configurar máquinas Linux para executar o Azure Monitor Agent e associá-las a uma Regra de Coleta de Dados | Monitore e proteja suas máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc implantando a extensão do Azure Monitor Agent e associando as máquinas a uma Regra de Coleta de Dados especificada. A implantação ocorrerá em máquinas com imagens de sistema operacional suportadas (ou máquinas que correspondam à lista de imagens fornecida) em regiões suportadas. | 4 | 3.2.0 |
| Configurar máquinas Windows para executar o Azure Monitor Agent e associá-las a uma Regra de Coleta de Dados | Monitore e proteja suas máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc implantando a extensão do Agente do Azure Monitor e associando as máquinas a uma Regra de Coleta de Dados especificada. A implantação ocorrerá em máquinas com imagens de sistema operacional suportadas (ou máquinas que correspondam à lista de imagens fornecida) em regiões suportadas. | 4 | 3.2.0 |
| Implante o Linux Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário e associe-se à Regra de Coleta de Dados | Monitore suas máquinas virtuais Linux e conjuntos de dimensionamento de máquinas virtuais implantando a extensão do Agente de Monitor do Azure com autenticação de identidade gerenciada atribuída pelo usuário e associando-se à Regra de Coleta de Dados especificada. A Implantação do Agente do Azure Monitor ocorrerá em máquinas com imagens de sistema operacional suportadas (ou máquinas que correspondam à lista de imagens fornecida) em regiões com suporte. | 5 | 2.3.0 |
| Implantar o Windows Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário e associá-lo à Regra de Coleta de Dados | Monitore suas máquinas virtuais do Windows e conjuntos de dimensionamento de máquinas virtuais implantando a extensão do Agente de Monitor do Azure com autenticação de identidade gerenciada atribuída pelo usuário e associando-se à Regra de Coleta de Dados especificada. A Implantação do Agente do Azure Monitor ocorrerá em máquinas com imagens de sistema operacional suportadas (ou máquinas que correspondam à lista de imagens fornecida) em regiões com suporte. | 5 | 2.3.0 |
| Habilitar o log de recursos do grupo de categorias de auditoria para recursos suportados no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta iniciativa implanta a configuração de diagnóstico usando o grupo de categorias de auditoria para rotear logs para o Hub de Eventos para todos os recursos suportados | 33 | 1.0.0 |
| Habilitar o log de recursos do grupo de categorias de auditoria para recursos suportados no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta iniciativa implanta a configuração de diagnóstico usando o grupo de categorias de auditoria para rotear logs para o Log Analytics para todos os recursos suportados. | 33 | 1.0.0 |
| Habilitar o log de recursos do grupo de categorias de auditoria para armazenamento de recursos suportados | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta iniciativa implanta a configuração de diagnóstico usando o grupo de categorias de auditoria para rotear logs para o armazenamento de todos os recursos suportados. | 33 | 1.0.0 |
| Habilitar o Azure Monitor para VMs híbridas com AMA | Habilite o Azure Monitor para as máquinas virtuais híbridas com AMA. | 6 | 1.0.0 |
| Habilitar o Azure Monitor para VMs com o Azure Monitoring Agent (AMA) | Habilite o Azure Monitor para as máquinas virtuais (VMs) com AMA. | 7 | 1.0.0 |
| Habilitar o Azure Monitor para VMSS com o Azure Monitoring Agent (AMA) | Habilite o Azure Monitor para o conjunto de dimensionamento de máquinas virtuais (VMSS) com AMA. | 7 | 1.0.0 |
| Legado - Habilitar o Azure Monitor para Conjuntos de Dimensionamento de Máquina Virtual | Legado - Habilite o Monitor do Azure para os Conjuntos de Escala de Máquina Virtual no escopo especificado (Grupo de gerenciamento, Assinatura ou grupo de recursos). Usa o espaço de trabalho do Log Analytics como parâmetro. Use a nova iniciativa chamada: Habilitar o Azure Monitor para VMSS com o Azure Monitoring Agent (AMA). Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as VMs do conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | 6 | 1.0.2 |
| Legado - Habilitar o Azure Monitor para VMs | Herdado - Habilite o Azure Monitor para as máquinas virtuais (VMs) no escopo especificado (grupo de gerenciamento, assinatura ou grupo de recursos). Usa o espaço de trabalho do Log Analytics como parâmetro. Use a nova iniciativa nomeada: Habilitar o Azure Monitor para VMs com o Azure Monitoring Agent (AMA) | 10 | 2.0.1 |
Rede
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Os logs de fluxo devem ser configurados e habilitados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados e se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | 2 | 1.0.0 |
Conformidade Regulamentar
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Governo Australiano ISM PROTECTED | Esta iniciativa inclui políticas que abordam um subconjunto de controles do Manual de Segurança da Informação do Governo Australiano (ISM). Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/auism-initiative. | 54 | 8.2.2-Pré-visualização |
| [Pré-visualização]: CMMC 2.0 Nível 2 | Esta iniciativa inclui políticas que abordam um subconjunto de práticas CMMC 2.0 Nível 2. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-pré-visualização |
| [Pré-visualização]: Motion Picture Association of America (MPAA) | Essa iniciativa inclui políticas de auditoria e implantação de extensão de máquina virtual que abordam um subconjunto de controles de segurança e diretrizes da Motion Picture Association of America (MPAA). Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/mpaa-init. | 36 | 4.1.0-Pré-visualização |
| [Pré-visualização]: Reserve Bank of India - IT Framework for Banks | Esta iniciativa inclui políticas que abordam um subconjunto da estrutura de TI do Reserve Bank of India para controles de bancos. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-pré-visualização |
| [Preview]: Reserve Bank of India - Estrutura de TI para NBFC | Esta iniciativa inclui políticas que abordam um subconjunto de controles do Reserve Bank of India IT Framework for Non-Banking Financial Companies (NBFC). Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-Pré-visualização |
| [Pré-visualização]: Base de Soberania - Políticas Confidenciais | O Microsoft Cloud for Sovereignty recomenda políticas confidenciais para ajudar as organizações a atingir suas metas de soberania, negando por padrão a criação de recursos fora de regiões aprovadas, negando recursos que não são suportados pela Computação Confidencial do Azure e negando recursos de armazenamento de dados que não estão usando Chaves Gerenciadas pelo Cliente. Mais detalhes podem ser encontrados aqui: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-pré-visualização |
| [Pré-visualização]: Base de Soberania - Políticas Globais | O Microsoft Cloud for Sovereignty recomenda políticas globais para ajudar as organizações a atingir suas metas de soberania, negando por padrão a criação de recursos fora das regiões aprovadas. Mais detalhes podem ser encontrados aqui: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-pré-visualização |
| [Pré-visualização]: SWIFT CSP-CSCF v2020 | Essa iniciativa inclui políticas de auditoria e implantação de extensão de máquina virtual que abordam um subconjunto de controles SWIFT CSP-CSCF v2020. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/swift2020-init. | 59 | 6.1.0-Pré-visualização |
| [Pré-visualização]: SWIFT CSP-CSCF v2021 | Esta iniciativa inclui políticas que abordam um subconjunto dos controles da Estrutura de Controles de Segurança do Cliente v2021 do Programa de Segurança do Cliente SWIFT. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/swift2021-init. | 138 | 4.6.0-Pré-visualização |
| Certificação ACAT para Microsoft 365 | A App Compliance Automation Tool for Microsoft 365 (ACAT) simplifica o processo para obter a Certificação Microsoft 365, consulte https://aka.ms/acat. Essa certificação garante que os aplicativos tenham práticas sólidas de segurança e conformidade para proteger os dados, a segurança e a privacidade dos clientes. Esta iniciativa inclui políticas que abordam um subconjunto dos controles de Certificação do Microsoft 365. Políticas adicionais serão adicionadas nas próximas versões. | 24 | 1.0.0 |
| Canada Federal PBMM | Esta iniciativa inclui políticas que abordam um subconjunto de controles PBMM federais do Canadá. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | O Center for Internet Security (CIS) é uma entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para ciberdefesa". Os benchmarks CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles CIS Microsoft Azure Foundations Benchmark v1.1.0. Para mais informações, visite https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| Benchmark de fundações do Microsoft Azure CIS v1.3.0 | O Center for Internet Security (CIS) é uma entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para ciberdefesa". Os benchmarks CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles CIS Microsoft Azure Foundations Benchmark v1.3.0. Para mais informações, visite https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure Fundações Benchmark v1.4.0 | O Center for Internet Security (CIS) é uma entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para ciberdefesa". Os benchmarks CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles CIS Microsoft Azure Foundations Benchmark v1.4.0. Para mais informações, visite https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| Benchmark do CIS Microsoft Azure Foundations v2.0.0 | O Center for Internet Security (CIS) é uma entidade sem fins lucrativos cuja missão é "identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para ciberdefesa". Os benchmarks CIS são linhas de base de configuração e práticas recomendadas para configurar um sistema com segurança. Essas políticas abordam um subconjunto de controles CIS Microsoft Azure Foundations Benchmark v2.0.0. Para mais informações, visite https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CMMC Nível 3 | Esta iniciativa inclui políticas que abordam um subconjunto de requisitos de Nível 3 da Certificação de Modelo de Maturidade em Cibersegurança (CMMC). Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP Alto | O FedRAMP é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços baseados em nuvem. O FedRAMP define um conjunto de controles para sistemas de nível de impacto de segurança Baixo, Moderado ou Alto com base nos controles de linha de base do NIST. Essas políticas abordam um subconjunto de controles FedRAMP (High). Para mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP Moderado | O FedRAMP é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços baseados em nuvem. O FedRAMP define um conjunto de controles para sistemas de nível de impacto de segurança Baixo, Moderado ou Alto com base nos controles de linha de base do NIST. Essas políticas abordam um subconjunto de controles FedRAMP (Moderado). Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | A Health Information Trust Alliance (HITRUST) ajuda organizações de todos os setores, mas especialmente dos cuidados de saúde, a gerir de forma eficaz os dados, o risco das informações e a conformidade. A certificação HITRUST significa que a organização passou por uma avaliação completa do programa de segurança da informação. Essas políticas abordam um subconjunto de controles HITRUST. Para mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075 setembro 2016 | Esta iniciativa inclui políticas que abordam um subconjunto de controlos IRS1075 de setembro de 2016. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| Certificação ISO 27001:2013 | A norma ISO 27001 da Organização Internacional de Normalização fornece requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Essas políticas abordam um subconjunto de controles ISO 27001:2013. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | O National Institute of Standards and Technology (NIST) dos EUA promove e mantém padrões e diretrizes de medição para ajudar a proteger as informações e os sistemas de informação das agências federais. Em resposta à Ordem Executiva 13556 sobre a gestão de informação controlada não classificada (CUI), publicou o NIST SP 800-171. Essas políticas abordam um subconjunto de controles NIST SP 800-171 Rev. 2. Para mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | O National Institute of Standards and Technology (NIST) SP 800-53 R4 fornece uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem para gerenciar o risco de segurança da informação. Essas políticas abordam um subconjunto de controles NIST SP 800-53 R4. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | O National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 fornece uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem para gerenciar o risco de segurança da informação. Essas políticas abordam um subconjunto de controles NIST SP 800-53 R5. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| NL BIO Cloud Tema | Esta iniciativa inclui políticas que abordam os controlos neerlandeses da Baseline Informatiebeveiliging (BIO) especificamente para o «thema-uitwerking Clouddiensten» e incluem políticas abrangidas pelos controlos SOC2 e ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | A Norma de Segurança de Dados (DSS) da Indústria dos Cartões de Pagamento (PCI) é uma norma global de segurança de informação criada para impedir a fraude através do aumento do controlo dos dados dos cartões de crédito. A conformidade com o PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de pagamento e de titulares de cartão. Essas políticas abordam um subconjunto de controles PCI-DSS v4. Para mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Esta iniciativa inclui políticas que abordam um subconjunto de controles PCI v3.2.1:2018. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malásia | Esta iniciativa inclui políticas que abordam um subconjunto de requisitos de RMIT. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 Tipo 2 | Um Sistema e Controles de Organização (SOC) 2 é um relatório baseado nos Princípios e Critérios de Serviço de Confiança estabelecidos pelo American Institute of Certified Public Accountants (AICPA). O Relatório avalia o sistema de informação de uma organização relevante para os seguintes princípios: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Essas políticas abordam um subconjunto de controles SOC 2 Tipo 2. Para mais informações, visite https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | O Programa de Segurança do Cliente (CSP) da SWIFT ajuda as instituições financeiras a garantir que as suas defesas contra ciberataques estão atualizadas e são eficazes, para proteger a integridade da rede financeira em geral. Os usuários comparam as medidas de segurança que implementaram com as detalhadas no Customer Security Controls Framework (CSCF). Estas políticas abordam um subconjunto de controlos SWIFT. Para mais informações, visite https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| OFICIAL do Reino Unido e NHS do Reino Unido | Esta iniciativa inclui políticas de auditoria e implantação de extensão de máquina virtual que abordam um subconjunto de controles OFFICIAL e NHS do Reino Unido. Políticas adicionais serão adicionadas nas próximas versões. Para mais informações, visite https://aka.ms/ukofficial-init e https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Resiliência
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Os recursos devem ser resilientes à zona | Alguns tipos de recursos podem ser implantados Zona redundante (e.g. SQL bancos de dados); alguns podem ser implantados alinhados por zona (por exemplo, máquinas virtuais); e alguns podem ser implantados alinhados por zona ou redundantes de zona (por exemplo, conjuntos de escala de máquina virtual). Estar alinhado por zona não garante resiliência, mas é a base sobre a qual uma solução resiliente pode ser construída (por exemplo, três zonas de Conjuntos de Escala de Máquina Virtual alinhadas a três zonas diferentes na mesma região com um balanceador de carga). Consulte https://aka.ms/AZResilience para mais informações. | 34 | 1.10.0-pré-visualização |
SDN
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Auditar o acesso à rede pública | Auditar os recursos do Azure que permitem o acesso a partir da Internet pública | 35 | 4.2.0 |
| Avaliar o uso de link privado em todos os recursos suportados do Azure | Os recursos compatíveis têm pelo menos uma conexão de ponto de extremidade privada aprovada | 30 | 1.1.0 |
Centro de Segurança
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Implementar o Microsoft Defender for Endpoint agent | Implante o agente do Microsoft Defender for Endpoint em imagens aplicáveis. | 4 | 1.0.0-pré-visualização |
| Configurar a Proteção Avançada contra Ameaças para ser habilitada em bancos de dados relacionais de código aberto | Habilite a Proteção Avançada contra Ameaças em seus bancos de dados relacionais de código aberto de camada não básica para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Consulte https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurar o Azure Defender para ser habilitado em SQL Servers e SQL Managed Instances | Habilite o Azure Defender em seus SQL Servers e Instâncias Gerenciadas SQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | 3 | 3.0.0 |
| Configurar planos do Microsoft Defender para Cloud | O Microsoft Defender for Cloud fornece proteções abrangentes e nativas da nuvem, desde o desenvolvimento até o tempo de execução em ambientes multinuvem. Use a iniciativa de política para configurar os planos e extensões do Defender for Cloud para serem habilitados no(s) escopo(s) selecionado(s). | 11 | 1.0.0 |
| Configurar o Microsoft Defender para que os bancos de dados sejam habilitados | Configure o Microsoft Defender for Databases para proteger seus bancos de dados SQL do Azure, instâncias gerenciadas, bancos de dados relacionais de código aberto e Cosmos DB. | 4 | 1.0.0 |
| Definir várias configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud | Configure as várias configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | 3 | 1.0.0 |
| Configurar VMs SQL e SQL Servers habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho LA | O Microsoft Defender for SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho Regra de Coleta de Dados e Análise de Log na mesma região da máquina. | 9 | 1.2.1 |
| Configurar VMs SQL e SQL Servers habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | 8 | 1.1.1 |
| Referência da segurança da cloud da Microsoft | A iniciativa de benchmark de segurança na nuvem da Microsoft representa as políticas e os controles que implementam as recomendações de segurança definidas no benchmark de segurança na nuvem da Microsoft, consulte https://aka.ms/azsecbm. Isso também serve como a iniciativa de política padrão do Microsoft Defender for Cloud. Você pode atribuir diretamente essa iniciativa ou gerenciar suas políticas e resultados de conformidade no Microsoft Defender for Cloud. | 241 | 57.37.0 |
SQL
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| O Banco de Dados SQL do Azure deve ter autenticação somente Microsoft Entra; | Exigir autenticação somente Microsoft Entra-only para o Banco de Dados SQL do Azure, desabilitando os métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades Microsoft Entra, aprimorando a segurança com aprimoramentos modernos de autenticação, incluindo MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
| A Instância Gerenciada SQL do Azure deve ter autenticação somente Microsoft Entra. | Exigir autenticação somente Microsoft Entra-only para instância SQL Managed do Azure, desativando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades Microsoft Entra, aprimorando a segurança com aprimoramentos modernos de autenticação, incluindo MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
Sinapse
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Configurar o Synapse Workspaces para exigir identidades somente Microsoft Entra-somente para autenticação | Exigir e configurar a autenticação somente Microsoft Entra, para Synapse Workspaces, desativando métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades Microsoft Entra, aprimorando a segurança com aprimoramentos modernos de autenticação, incluindo MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
| Synapse Workspaces deve ter autenticação somente Microsoft Entra-only | Exija autenticação somente Microsoft Entra-only para Synapse Workspaces, desativando os métodos de autenticação local. Isso permite o acesso exclusivamente por meio de identidades Microsoft Entra, aprimorando a segurança com aprimoramentos modernos de autenticação, incluindo MFA, SSO e acesso programático sem segredo com identidades gerenciadas. | 2 | 1.0.0 |
Etiquetas
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| Garante que os recursos não tenham uma tag específica. | Nega a criação de um recurso que contém a tag fornecida. Não é aplicável a grupos de recursos. | 1 | 2.0.0 |
Lançamento confiável
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Visualização]: Configurar pré-requisitos para habilitar o Atestado de Convidado em VMs habilitadas para Inicialização Confiável | Configure as máquinas virtuais habilitadas para Inicialização Confiável para instalar automaticamente a extensão de Atestado de Convidado e habilitar a identidade gerenciada atribuída ao sistema para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. Para mais detalhes, consulte o seguinte link - https://aka.ms/trustedlaunch | 7 | 3.0.0-Pré-visualização |
Enclaves Virtuais
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Preview]: Controle o uso de AKS em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para AKS, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-pré-visualização |
| [Pré-visualização]: Controlar a utilização do Serviço de Aplicação num Enclave Virtual | Esta iniciativa implanta políticas do Azure para o Serviço de Aplicativo garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso do Registro de Contêiner em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para o Registro de Contêiner, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso do CosmosDB em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para o CosmosDB, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso de configurações de diagnóstico para recursos específicos em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para garantir a configuração de tipos de recursos específicos nos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso do Key Vault em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para Cofres de Chaves, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso do Microsoft SQL em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para Microsoft SQL, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-pré-visualização |
| [Preview]: Controle o uso do PostgreSql em um Enclave Virtual | Esta iniciativa implanta políticas do Azure para PostgreSql garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-pré-visualização |
| [Pré-visualização]: Controlar a utilização do Service Bus num Enclave Virtual | Esta iniciativa implanta políticas do Azure para Service Bus, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-pré-visualização |
| [Pré-visualização]: Controlar a utilização de Contas de Armazenamento num Enclave Virtual | Esta iniciativa implanta políticas do Azure para Contas de Armazenamento, garantindo a proteção de limites desse recurso enquanto ele opera dentro da estrutura logicamente separada dos Enclaves Virtuais do Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-Pré-visualização |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.