Pontuação de segurança no Centro de Segurança do Azure

Introdução para garantir pontuação

O Centro de Segurança Azure tem dois objetivos principais:

  • para ajudá-lo a entender a sua situação atual de segurança
  • para ajudá-lo de forma eficiente e eficaz a melhorar a sua segurança

A característica central no Centro de Segurança que lhe permite atingir esses objetivos é pontuação segura.

O Security Center avalia continuamente os seus recursos, subscrições e organização para questões de segurança. Em seguida, agrega todas as conclusões numa única pontuação para que possa dizer, num ápice, a sua situação de segurança atual: quanto maior for a pontuação, menor o nível de risco identificado.

A pontuação segura é mostrada nas páginas do portal Azure como um valor percentual, mas os valores subjacentes também são claramente apresentados:

Pontuação máxima segura, como mostrado no portal

Para aumentar a sua segurança, reveja a página de recomendações do Security Center para as ações pendentes necessárias para aumentar a sua pontuação. Cada recomendação inclui instruções para ajudá-lo a remediar a questão específica.

As recomendações são agrupadas nos controlos de segurança. Cada controlo é um grupo lógico de recomendações de segurança relacionadas, e reflete as suas superfícies de ataque vulneráveis. A sua pontuação só melhora quando remedia todas as recomendações para um único recurso dentro de um controlo. Para ver se a sua organização está a proteger cada superfície de ataque individual, reveja as pontuações para cada controlo de segurança.

Para obter mais informações, consulte como a sua pontuação segura é calculada abaixo.

Como a sua pontuação segura é calculada

A contribuição de cada controlo de segurança para a pontuação máxima segura global é claramente indicada na página de recomendações.

Os controlos de segurança do Azure Security Center e o seu impacto na sua pontuação segura

Para obter todos os pontos possíveis para um controlo de segurança, todos os seus recursos devem cumprir todas as recomendações de segurança dentro do controlo de segurança. Por exemplo, o Security Center tem várias recomendações sobre como proteger as suas portas de gestão. Tens de os remediar a todos para fazer a diferença na tua pontuação segura.

Pontuações de exemplo para um controlo

Aplicar o controlo de segurança das atualizações do sistema

Neste exemplo:

# Nome Descrição
1 Remediar o controlo de segurança de vulnerabilidades Este controlo agrupam várias recomendações relacionadas com a descoberta e resolução de vulnerabilidades conhecidas.
2 Pontuação máxima O número máximo de pontos que pode ganhar completando todas as recomendações dentro de um controlo. A pontuação máxima para um controlo indica a importância relativa desse controlo e é fixada para cada ambiente. Use os valores de pontuação máxima para triagem dos problemas para trabalhar primeiro.
Para obter uma lista de todos os controlos e as suas pontuações máximas, consulte os controlos de segurança e as suas recomendações.
3 Número de recursos Há 35 recursos afetados por este controlo.
Para compreender a possível contribuição de cada recurso, divida a pontuação máxima pelo número de recursos.
Para este exemplo, 6/35=0.1714
Cada recurso contribui com 0,1714 pontos.
4 Pontuação atual A pontuação atual para este controlo.
Pontuação atual=[Pontuação por recurso]*[Número de recursos saudáveis]
0,1714 x 5 recursos saudáveis = 0,86
Cada controlo contribui para a pontuação total. Neste exemplo, o controlo está a contribuir com 0,86 pontos para a pontuação máxima máxima.
5 Aumento potencial da pontuação Os restantes pontos disponíveis estão ao seu alcance. Se remediar todas as recomendações neste controlo, a sua pontuação aumentará 9%.
Aumento potencial da pontuação=[Pontuação por recurso]*[Número de recursos não saudáveis]
0,1714 x 30 recursos não saudáveis = 5,14

Cálculos - compreender a sua pontuação

Metric Fórmula e exemplo
Pontuação atual do controlo de segurança
Equação para calcular a pontuação de um controlo de segurança

Cada controlo de segurança individual contribui para a Pontuação de Segurança. Cada recurso afetado por uma recomendação dentro do controlo, contribui para a pontuação atual do controlo. A pontuação atual para cada controlo é uma medida do estado dos recursos sob controlo.
Dicas de ferramentas que mostram os valores utilizados no cálculo da pontuação atual do controlo de segurança
Neste exemplo, a pontuação máxima de 6 seria dividida por 78 porque essa é a soma dos recursos saudáveis e insalubres.
6 / 78 = 0,0769
Multiplicar-se pelo número de recursos saudáveis (4) resulta na pontuação atual:
0,0769 * 4 = 0,31

Classificação de segurança
Subscrição individual

Equação para calcular a pontuação segura de uma subscrição

Pontuação segura de subscrição única com todos os controlos ativados
Neste exemplo, existe uma única subscrição com todos os controlos de segurança disponíveis (uma pontuação máxima potencial de 60 pontos). A pontuação mostra 28 pontos de um possível 60 e os restantes 32 pontos refletem-se nos números de "Potencial aumento de pontuação" dos controlos de segurança.
Lista de controlos e o aumento potencial da pontuação
Classificação de segurança
Múltiplas subscrições

Equação para calcular a pontuação segura para várias subscrições

Ao calcular a pontuação combinada para várias subscrições, o Security Center inclui um peso para cada subscrição. Os pesos relativos para as suas subscrições são determinados pelo Security Center com base em fatores como o número de recursos.
A pontuação atual para cada subscrição é calculada da mesma forma que para uma única subscrição, mas então o peso é aplicado como mostrado na equação.
Ao visualizar várias subscrições, a pontuação segura avalia todos os recursos dentro de todas as políticas ativadas e agrupam o seu impacto combinado na pontuação máxima de cada controlo de segurança.
Pontuação segura para várias subscrições com todos os controlos ativados
A pontuação combinada não é uma média; em vez disso, é a postura avaliada do estado de todos os recursos em todas as subscrições.
Também aqui, se for à página de recomendações e somar os pontos potenciais disponíveis, verá que é a diferença entre a pontuação atual (24) e a pontuação máxima disponível (60).

Que recomendações estão incluídas nos cálculos de pontuação segura?

Só as recomendações incorporadas têm impacto na pontuação segura.

Recomendações assinaladas como Preview não estão incluídas nos cálculos da sua pontuação segura. Devem continuar a ser remediados sempre que possível, para que quando o período de pré-visualização terminar contribuam para a sua pontuação.

Um exemplo de uma recomendação de pré-visualização:

Recomendação com a bandeira de pré-visualização

Melhorar a sua pontuação segura

Para melhorar a sua pontuação segura, remedia as recomendações de segurança da sua lista de recomendações. Pode remediar manualmente cada recomendação para cada recurso, ou utilizando a opção Fix (quando disponível) para resolver rapidamente um problema em múltiplos recursos. Para obter mais informações, consulte recomendações corretivas.

Outra forma de melhorar a sua pontuação e garantir que os seus utilizadores não criam recursos que impactem negativamente a sua pontuação é configurar as opções Depor e Negar nas recomendações relevantes. Saiba mais em Prevenir configurações erradas com recomendações de Cumprir/Negar.

Controlos de segurança e suas recomendações

A tabela abaixo lista os controlos de segurança no Centro de Segurança Azure. Para cada controlo, pode ver o número máximo de pontos que pode adicionar à sua pontuação segura se remediar todas as recomendações listadas no controlo, para todos os seus recursos.

O conjunto de recomendações de segurança fornecidas ao Centro de Segurança é adaptado aos recursos disponíveis no ambiente de cada organização. As recomendações podem ser ainda mais personalizadas, desativando políticas e isentando recursos específicos de uma recomendação.

Recomendamos que todas as organizações revejam cuidadosamente as suas iniciativas atribuídas à Política Azure.

Dica

Para mais detalhes sobre a revisão e edição das suas iniciativas, consulte Trabalhar com políticas de segurança.

Embora a iniciativa de segurança padrão do Security Center se baseie nas melhores práticas e padrões da indústria, existem cenários em que as recomendações incorporadas listadas abaixo podem não se adequar completamente à sua organização. Consequentemente, às vezes será necessário ajustar a iniciativa padrão - sem comprometer a segurança - para garantir que está alinhada com as políticas da sua própria organização. padrões da indústria, padrões regulamentares e referências que é obrigado a cumprir.

Classificação de segurança Controlo de segurança e descrição Recomendações

10

Ativar o MFA

Se utilizar apenas uma palavra-passe para autenticar um utilizador, deixa um vetor de ataque aberto. Se a palavra-passe é fraca ou foi exposta em outro lugar, será realmente o utilizador a iniciar sessão com o nome de utilizador e a palavra-passe?
Com o MFA ativado, as suas contas são mais seguras e os utilizadores ainda podem autenticar para quase todas as aplicações com sso único.s.autônea.
- O MFA deve ser ativado em contas com permissões do proprietário na sua subscrição
- O MFA deve ser ativado em contas com permissões do proprietário na sua subscrição
- MFA deve ser ativado em contas com permissões de escrita na sua subscrição

8

Portas de gestão seguras

Força bruta ataca portas de gestão de alvos para ter acesso a um VM. Uma vez que as portas nem sempre precisam de estar abertas, uma estratégia de mitigação é reduzir a exposição aos portos utilizando controlos de acesso à rede just-in-time, grupos de segurança de rede e gestão de portas de máquinas virtuais.
Uma vez que muitas organizações de TI não bloqueiam a saída de comunicações SSH da sua rede, os atacantes podem criar túneis encriptados que permitem que as portas RDP em sistemas infetados comuniquem de volta ao comando do intruso para controlar os servidores. Os atacantes podem usar o subsistema de Gestão Remota do Windows para se deslocarem lateralmente pelo seu ambiente e utilizarem credenciais roubadas para aceder a outros recursos numa rede.
- Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede
- As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time
- As portas de gestão devem ser fechadas nas suas máquinas virtuais

6

Aplicar atualizações do sistema

As atualizações do sistema proporcionam às organizações a capacidade de manter a eficiência operacional, reduzir as vulnerabilidades de segurança e proporcionar um ambiente mais estável para os utilizadores finais. Não aplicar atualizações deixa vulnerabilidades não remadas e resulta em ambientes que são suscetíveis a ataques. Estas vulnerabilidades podem ser exploradas e levar à perda de dados, exfiltração de dados, ransomware e abuso de recursos. Para implementar atualizações do sistema, pode utilizar a solução 'Gestão de Atualização' para gerir patches e atualizações para as suas máquinas virtuais. A gestão de atualização é o processo de controlo da implementação e manutenção de lançamentos de software.
- Os problemas de saúde do agente Log Analytics devem ser resolvidos nas suas máquinas
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas em Linux
- O agente Log Analytics deve ser instalado na sua máquina virtual
- O agente Log Analytics deve ser instalado nos conjuntos de escala de máquina virtual
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas no Windows
- As atualizações do sistema em conjuntos de escala de máquinas virtuais devem ser instaladas
- As atualizações do sistema devem ser instaladas nas suas máquinas
- As atualizações do sistema devem ser instaladas nas suas máquinas (alimentadas pelo Update Center)

6

Remediar vulnerabilidades

Uma vulnerabilidade é uma fraqueza que um ator ameaça pode aproveitar para comprometer a confidencialidade, disponibilidade ou integridade de um recurso. Gerir vulnerabilidades reduz a exposição organizacional, endurece a área de superfície do ponto final, aumenta a resiliência organizacional e reduz a superfície de ataque dos seus recursos. A Gestão de Ameaças e Vulnerabilidades proporciona visibilidade em software e segurança e fornece recomendações para mitigação.
- Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais
- O Azure Defender para SQL deve ser ativado nas suas instâncias geridas
- O Azure Defender para SQL deve ser ativado nos seus servidores SQL
- O Add-on de Política Azure para Kubernetes deve ser instalado e ativado nos seus clusters
- As imagens dos contentores devem ser implantadas apenas a partir de registos fidedignos
- As vulnerabilidades nas imagens do Registo de Contentores de Azure devem ser remediadas (alimentadas por Qualys)
- As vulnerabilidades nas suas máquinas virtuais devem ser remediadas

4

Encriptar dados em trânsito

Os dados estão "em trânsito" quando são transmitidos entre componentes, locais ou programas. As organizações que não protegem os dados em trânsito são suscetíveis a ataques man-in-the-middle, escutas e sequestro de sessão. Os protocolos SSL/TLS devem ser utilizados para o intercâmbio de dados e recomenda-se uma VPN. Ao enviar dados encriptados entre uma máquina virtual Azure e uma localização no local, através da internet, pode utilizar um gateway de rede virtual, como o Azure VPN Gateway, para enviar tráfego encriptado.
- A API App só deve estar acessível em HTTPS
- A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL
- A ligação SSL da Aplicação deve ser ativada para servidores de base de dados PostgreSQL
- FTPS deve ser necessário na sua App API
- FTPS deve ser exigido na sua app de função
- FTPS deve ser necessário na sua web App
- A App de função só deve estar acessível através do HTTPS
- Apenas devem ser ativadas ligações seguras à sua Cache Redis
- A transferência segura para contas de armazenamento deve ser ativada
- TLS deve ser atualizado para a versão mais recente para a sua aplicação API
- TLS deve ser atualizado para a versão mais recente para a sua aplicação de função
- TLS deve ser atualizado para a versão mais recente para a sua aplicação web
- A Aplicação Web só deve ser acessível em HTTPS

4

Restringir o acesso não autorizado à rede

Os pontos finais dentro de uma organização fornecem uma ligação direta da sua rede virtual aos serviços Azure suportados. Máquinas virtuais numa sub-rede podem comunicar com todos os recursos. Para limitar a comunicação de e para os recursos dentro de uma sub-rede, crie um grupo de segurança de rede e associe-o à sub-rede. As organizações podem limitar e proteger contra o tráfego não autorizado, criando regras de entrada e saída.
- Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais
- Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual
- A Configuração da Aplicação deve usar link privado
- Azure Cache para Redis deve residir dentro de uma rede virtual
- Os domínios da grelha de eventos Azure devem usar link privado
- Os tópicos da Grelha de Eventos Azure devem usar link privado
- Espaços de trabalho de aprendizagem automática Azure devem usar link privado
- O Add-on de Política Azure para Kubernetes deve ser instalado e ativado nos seus clusters
- O Serviço Azure SignalR deve utilizar link privado
- Azure Spring Cloud deve usar injeção de rede
- Os registos de contentores não devem permitir o acesso ilimitado à rede
- Os registos de contentores devem usar ligação privada
- Os contentores devem ouvir apenas as portas permitidas
- O CORS não deve permitir que todos os recursos acedam à sua App API
- O CORS não deve permitir que todos os recursos acedam à sua App de Função
- O CORS não deve permitir que todos os recursos acedam às suas Aplicações Web
- Firewall deve ser ativado no Cofre de Chaves
- Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede
- O encaminhamento IP na sua máquina virtual deve ser desativado
- O servidor API de Gestão de Serviços kubernetes deve ser configurado com acesso restrito
- O ponto final privado deve ser configurado para o Cofre de Chaves
- O ponto final privado deve ser ativado para servidores MariaDB
- O ponto final privado deve ser ativado para servidores MySQL
- O ponto final privado deve ser ativado para servidores PostgreSQL
- O acesso à rede pública deve ser desativado para servidores MariaDB
- O acesso à rede pública deve ser desativado para servidores MySQL
- O acesso à rede pública deve ser desativado para servidores PostgreSQL
- Os serviços devem ouvir apenas os portos permitidos
- A conta de armazenamento deve usar uma ligação de ligação privada
- As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtuais
- A utilização da rede de acolhimento e das portas deve ser restringida
- As redes virtuais devem ser protegidas pelo Azure Firewall
- Modelos de construtor de imagem VM devem usar link privado

4

Ativar a encriptação em repouso

A encriptação em repouso fornece proteção de dados para dados armazenados. Os ataques contra dados em repouso incluem tentativas de acesso físico ao hardware em que os dados são armazenados. Os Azures usam encriptação simétrica para encriptar e desencriptar grandes quantidades de dados em repouso. Uma chave de encriptação simétrica é usada para encriptar dados à medida que são escritos para armazenamento. Esta chave de encriptação também é usada para desencriptar esses dados à medida que são reutilizados para serem usados na memória. As chaves devem ser armazenadas num local seguro com políticas de controlo de acesso e auditoria baseadas em identidade. Um desses locais seguros é o Cofre da Chave Azure. Se um intruso obtiver os dados encriptados, mas não as chaves de encriptação, o intruso não pode aceder aos dados sem quebrar a encriptação.
- A encriptação do disco deve ser aplicada em máquinas virtuais
- Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign
- A encriptação transparente de dados nas bases de dados SQL deve ser ativada

4

Gerir acessos e permissões

Uma parte central de um programa de segurança é garantir que os seus utilizadores tenham o acesso necessário para fazer o seu trabalho, mas não mais do que isso: o modelo de acesso ao privilégio menos privilegiado.
Controlar o acesso aos seus recursos criando atribuições de funções com o controlo de acesso baseado em funções Azure (Azure RBAC). Uma tarefa de função consiste em três elementos:
- Principal desegurança : o objeto a que o utilizador está a solicitar acesso
- Definição de função:as suas permissões
- Âmbito: o conjunto de recursos a que se aplicam as permissões
- A autenticação nas máquinas Linux deve necessitar de chaves SSH
- O Add-on de Política Azure para Kubernetes deve ser instalado e ativado nos seus clusters
- Contentor com escalada de privilégio deve ser evitado
- Os recipientes que partilham espaços sensíveis de nome de hospedeiro devem ser evitados
- As contas preprecadas devem ser removidas da sua subscrição
- Contas pregridadas com permissões do proprietário devem ser removidas da sua subscrição
- As contas externas com permissões do proprietário devem ser removidas da sua subscrição
- As contas externas com permissões de escrita devem ser removidas da sua subscrição
- As aplicações de função devem ter Certificados de Cliente (certificados de clientes) ativados
- A extensão de configuração do hóspede deve ser instalada nas suas máquinas
- O sistema de ficheiros de raiz imutável (apenas para leitura) deve ser aplicado para os contentores
- Capacidades linux menos privilegiadas devem ser aplicadas para contentores
- A identidade gerida deve ser usada na sua app API
- A identidade gerida deve ser usada na sua aplicação de função
- A identidade gerida deve ser usada na sua aplicação web
- Recipientes privilegiados devem ser evitados
- Role-Based Controlo de Acesso deve ser utilizado nos serviços Kubernetes
- Os recipientes de funcionamento como utilizador de raiz devem ser evitados
- Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente
- Os principais serviços devem ser usados para proteger as suas assinaturas em vez de Certificados de Gestão
- O acesso público à conta de armazenamento deve ser proibido
- A utilização dos suportes de volume do Pod HostPath deve ser restringida a uma lista conhecida para restringir o acesso do nó a partir de contentores comprometidos
- A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema

4

Remediar configurações de segurança

Os ativos de TI mal configurados têm um maior risco de serem atacados. As ações básicas de endurecimento são muitas vezes esquecidas quando os ativos estão a ser implantados e os prazos devem ser cumpridos. As configurações erradas de segurança podem estar em qualquer nível na infraestrutura: desde os sistemas operativos e aparelhos de rede, até aos recursos em nuvem.
O Azure Security Center compara continuamente a configuração dos seus recursos com requisitos em padrões, regulamentos e referências da indústria. Quando configurar os "pacotes de conformidade" relevantes (padrões e linhas de base) que interessam à sua organização, quaisquer lacunas resultarão em recomendações de segurança que incluam o CCEID e uma explicação do impacto potencial na segurança.
Os pacotes comumente utilizados são Azure Security Benchmark e CIS Microsoft Azure Foundations Benchmark versão 1.1.0.
- O Add-on de Política Azure para Kubernetes deve ser instalado e ativado nos seus clusters
- Os problemas de saúde do agente Log Analytics devem ser resolvidos nas suas máquinas
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas em Linux
- O agente Log Analytics deve ser instalado na sua máquina virtual
- O agente Log Analytics deve ser instalado nos conjuntos de escala de máquina virtual
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas no Windows
- Sobrevaor ou desativação de contentores O perfil appArmor deve ser restringido
- As Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes (Deprecados)
- O Arranque Seguro deve ser ativado na sua máquina virtual Linux
- Bases de dados SQL devem ter conclusões de vulnerabilidade resolvidas
- Servidores SQL em máquinas devem ter conclusões de vulnerabilidade resolvidas
- Máquinas virtuais devem ser atestadas para a saúde da integridade do arranque
- As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas
- As vulnerabilidades na configuração de segurança nas suas máquinas Linux devem ser remediadas (alimentadas pelo Guest Config)
- As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas
- As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas
- As vulnerabilidades na configuração de segurança nas suas máquinas Windows devem ser remediadas (alimentadas pelo Guest Config)
- A avaliação da vulnerabilidade deve ser ativada nas suas instâncias geridas pelo SQL
- A avaliação da vulnerabilidade deve ser ativada nos seus servidores SQL

3

Aplicar controlo de aplicação adaptativa

O controlo de aplicações adaptativas (AAC) é uma solução inteligente, automatizada e de ponta a ponta, que permite controlar quais aplicações podem funcionar nas suas máquinas Azure e não-Azure. Também ajuda a endurecer as suas máquinas contra malware.
O Security Center utiliza machine learning para criar uma lista de aplicações conhecidas e seguras para um grupo de máquinas.
Esta abordagem inovadora à listagem de aplicações aprovada proporciona os benefícios de segurança sem a complexidade da gestão.
O AAC é particularmente relevante para servidores construídos de propósito que precisam executar um conjunto específico de aplicações.
- Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas
- As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas
- Os problemas de saúde do agente Log Analytics devem ser resolvidos nas suas máquinas
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas em Linux
- O agente Log Analytics deve ser instalado na sua máquina virtual
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas no Windows

2

Proteja as suas aplicações com soluções avançadas de networking da Azure

- A Padrão de Proteção Azure DDoS deve ser ativado
- O Add-on de Política Azure para Kubernetes deve ser instalado e ativado nos seus clusters
- CpU do contentor e limites de memória devem ser aplicados
- Firewall de aplicação web (WAF) deve ser ativado para Gateway de aplicação
- Firewall de aplicação web (WAF) deve ser ativado para o serviço de porta frontal Azure

2

Permitir a proteção do ponto final

Para garantir que os seus pontos finais estão protegidos contra malware, os sensores comportamentais recolhem e processam dados dos sistemas operativos dos seus pontos finais e enviam estes dados para a nuvem privada para análise. A análise de segurança aproveita os big data, machine-learning e outras fontes para recomendar respostas a ameaças. Por exemplo, o Microsoft Defender ATP utiliza inteligência de ameaça para identificar métodos de ataque e gerar alertas de segurança.
O Security Center suporta as seguintes soluções de proteção de ponto final: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 para Windows, McAfee v10 para Linux e Sophos v9 para Linux. Se o Centro de Segurança detetar alguma destas soluções, a recomendação de instalação da proteção do ponto final deixará de aparecer.
- Falhas de saúde de proteção de ponto final devem ser remediadas em conjuntos de escala de máquina virtual
- Problemas de saúde de proteção de ponto final devem ser resolvidos nas suas máquinas
- Problemas de saúde de proteção de ponto final devem ser resolvidos nas suas máquinas
- A proteção do ponto final deve ser instalada nas suas máquinas
- A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual
- A monitorização da integridade dos ficheiros deve ser ativada nos servidores
- Instale a solução de proteção do ponto final em máquinas virtuais
- Instale a solução de proteção do ponto final nas suas máquinas
- Os problemas de saúde do agente Log Analytics devem ser resolvidos nas suas máquinas
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas em Linux
- O agente Log Analytics deve ser instalado na sua máquina virtual
- O agente Log Analytics deve ser instalado nos conjuntos de escala de máquina virtual
- O agente Log Analytics deve ser instalado nas suas máquinas Azure Arc baseadas no Windows

1

Permitir a auditoria e a exploração madeireira

Os dados de registo fornecem informações sobre problemas passados, previnem potenciais, podem melhorar o desempenho da aplicação e fornecem a capacidade de automatizar ações que de outra forma seriam manuais.
- Os registos de controlo e gestão fornecem informações sobre as operações do Azure Resource Manager.
- Os registos de planos de dados fornecem informações sobre os eventos angariados como parte do uso de recursos Azure.
- Eventos processados fornecem informações sobre eventos/alertas analisados que foram processados.
- A auditoria no servidor SQL deve ser ativada
- Os registos de diagnóstico na Azure Data Lake Store devem ser ativados
- Os registos de diagnóstico no Azure Stream Analytics devem ser ativados
- Os registos de diagnóstico nas contas do Lote devem ser ativados
- Os registos de diagnóstico em Data Lake Analytics devem ser ativados
- Os registos de diagnóstico no Centro de Eventos devem ser ativados
- Os registos de diagnóstico no Cofre de Chaves devem ser ativados
- Os registos de diagnóstico nos serviços de pesquisa devem ser ativados
- Os registos de diagnóstico no Service Bus devem ser ativados
- Os registos de diagnóstico em conjuntos de escala de máquina virtual devem ser ativados
- Os registos de diagnóstico nas suas aplicações lógicas devem ser ativados
- Os registos de diagnóstico devem ser ativados no Serviço de Aplicações

0

Implementar as melhores práticas de segurança

As práticas de segurança modernas "assumem a violação" do perímetro da rede. Por essa razão, muitas das melhores práticas neste controlo concentram-se na gestão de identidades.
Perder chaves e credenciais é um problema comum. O Azure Key Vault protege chaves e segredos encriptando chaves, ficheiros .pfx e palavras-passe.
As redes privadas virtuais (VPNs) são uma forma segura de aceder às suas máquinas virtuais. Se as VPNs não estiverem disponíveis, utilize frases-passe complexas e autenticação de dois fatores, tais como autenticação multi-factor AD Azure. A autenticação de dois fatores evita as fraquezas inerentes à dependência apenas de nomes de utilizador e palavras-passe.
A utilização de plataformas de autenticação e autorização fortes é outra das melhores práticas. A utilização de identidades federadas permite que as organizações deleguem a gestão de identidades autorizadas. Isto também é importante quando os trabalhadores são despedidos, e o seu acesso precisa de ser revogado.
- Um máximo de 3 proprietários deve ser designado para a sua subscrição
- O acesso a contas de armazenamento com firewall e configurações de rede virtuais deve ser restringido
- Todos os tipos avançados de proteção contra ameaças devem ser ativados em definições avançadas de segurança de dados de casos de SQL
- Todos os tipos avançados de proteção contra ameaças devem ser ativados nas definições avançadas de segurança de dados do servidor SQL
- Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL
- Os serviços de Gestão da API devem utilizar uma rede virtual
- A retenção de auditoria para servidores SQL deve ser definida para pelo menos 90 dias
- O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição
- As variáveis de conta de automação devem ser encriptadas
- A azure Backup deve ser ativado para máquinas virtuais
- Contas DB da Azure Cosmos devem ter regras de firewall
- As contas DB da Azure Cosmos devem usar chaves geridas pelo cliente para encriptar dados em repouso
- Os espaços de trabalho de aprendizagem automática Azure devem ser encriptados com uma chave gerida pelo cliente (CMK)
- As contas dos Serviços Cognitivos devem permitir a encriptação de dados
- As contas de Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente (CMK)
- Contas de Serviços Cognitivos devem restringir o acesso à rede
- As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou permitir a encriptação de dados
- Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente (CMK)
- A política de filtro IP predefinido deve ser Deny
- Os registos de diagnóstico no IoT Hub devem ser ativados
- A notificação por e-mail para alertas de alta gravidade deve ser ativada
- A notificação por e-mail ao proprietário da subscrição para alertas de alta gravidade deve ser ativada
- Garantir que a app API tem certificados de clientes Os certificados de cliente definidos para On
- As contas externas com permissões de leitura devem ser removidas da sua subscrição
- Backup geo-redundante deve ser ativado para Azure Database for MariaDB
- Backup geo-redundante deve ser ativado para Azure Database para MySQL
- A cópia de segurança geo-redundante deve ser ativada para a Base de Dados Azure para PostgreSQL
- A extensão de configuração do hóspede deve ser instalada nas suas máquinas
- Credenciais de autenticação idênticas
- Dispositivos IoT - Agente que envia mensagens subutilizadas
- Dispositivos IoT - Processo auditado deixou de enviar eventos
- Dispositivos IoT - Portas abertas no dispositivo
- Dispositivos IoT - Falha de validação da linha de base do sistema operativo
- Dispositivos IoT - A política de firewall permissiva numa das cadeias foi encontrada
- Dispositivos IoT - Regra de firewall permissiva na cadeia de entrada foi encontrada
- Dispositivos IoT - Regra de firewall permissiva na cadeia de saída foi encontrada
- Dispositivos IoT - Atualização de suíte de cifra TLS necessária
- Regra de filtro IP grande gama DE IP
- Java deve ser atualizado para a versão mais recente para a sua aplicação API
- Java deve ser atualizado para a versão mais recente para a sua aplicação de função
- Java deve ser atualizado para a versão mais recente para a sua aplicação web
- As chaves do cofre devem ter uma data de validade
- Segredos chave do cofre devem ter uma data de validade
- Os cofres-chave devem ter proteção de purga ativada
- As abóbadas-chave devem ter a eliminação suave ativada
- Os clusters Kubernetes só devem estar acessíveis em HTTPS
- MFA deve ser ativado em contas com permissões de leitura na sua subscrição
- Os servidores MySQL devem usar chaves geridas pelo cliente para encriptar dados em repouso
- O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux
- O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows
- O Observador de Rede deve ser ativado
- Máquinas virtuais não orientadas para a Internet devem ser protegidas com grupos de segurança de rede
- PHP deve ser atualizado para a versão mais recente para a sua aplicação API
- PHP deve ser atualizado para a versão mais recente para a sua aplicação web
- Os servidores PostgreSQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso
- As ligações privadas de ponto final na Base de Dados Azure SQL devem ser ativadas
- O acesso à rede pública na Base de Dados Azure SQL deve ser desativado
- O acesso à rede pública deve ser desativado para contas de Serviços Cognitivos
- Python deve ser atualizado para a versão mais recente para a sua aplicação API
- Python deve ser atualizado para a versão mais recente para a sua aplicação de função
- Python deve ser atualizado para a versão mais recente para a sua aplicação web
- Depuragem remota deve ser desligada para app API
- Depuragem remota deve ser desligada para a App de Função
- Depuragem remota deve ser desligada para aplicações web
- As instâncias geridas pela SQL devem usar chaves geridas pelo cliente para encriptar dados em repouso
- Os servidores SQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso
- As contas de armazenamento devem ser migradas para novos recursos do Gestor de Recursos Azure
- As contas de armazenamento devem utilizar a chave gerida pelo cliente (CMK) para encriptação
- As subnetas devem ser associadas a um grupo de segurança de rede
- As subscrições devem ter um endereço de e-mail de contacto para questões de segurança
- Deve haver mais de um proprietário atribuído à sua subscrição
- O período de validade dos certificados armazenados no Cofre da Chave Azure não deve exceder 12 meses
- Máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager
- A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema
- As aplicações web devem solicitar um certificado SSL para todos os pedidos de entrada
- A Guarda de Exploração do Windows Defender deve ser ativada nas suas máquinas
- Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros

0

Aplicar classificação de dados

Classificar os dados da sua organização pela sensibilidade e impacto do negócio permite-lhe determinar e atribuir valor aos dados, e fornece a estratégia e base para a governação.
A Azure Information Protection pode ajudar na classificação de dados. Utiliza políticas de encriptação, identidade e autorização para proteger os dados e restringir o acesso aos dados. Algumas classificações que a Microsoft usa são não-comerciais, públicas, gerais, confidenciais e altamente confidenciais.
- Os dados sensíveis nas suas bases de dados SQL devem ser classificados

0

Ativar a proteção avançada de ameaças

Os planos opcionais de proteção contra ameaças do Azure Security Center proporcionam defesas abrangentes para o seu ambiente. Quando o Centro de Segurança deteta uma ameaça em qualquer área do seu ambiente, gera um alerta. Estes alertas descrevem detalhes dos recursos afetados, sugeriram medidas de reparação e, em alguns casos, uma opção para desencadear uma aplicação lógica em resposta.
Cada plano Azure Defender é uma oferta separada e opcional que pode permitir utilizar a recomendação relevante neste controlo de segurança.
Saiba mais sobre a proteção contra ameaças no Centro de Segurança.
- Azure Arc habilitado a clusters kubernetes deve ter a extensão do Azure Defender instalada
- Azure Defender for App Service deve ser ativado
- O Azure Defender para os servidores da Base de Dados Azure SQL deve ser ativado
- Azure Defender para registos de contentores deve ser ativado
- Azure Defender para DNS deve ser ativado
- Azure Defender para o Cofre de Chaves deve ser ativado
- Azure Defender for Kubernetes deve ser ativado
- Azure Defender para Gestor de Recursos deve ser ativado
- O Azure Defender para servidores deve ser ativado
- O Azure Defender para servidores SQL em máquinas deve ser ativado
- Azure Defender para armazenamento deve ser ativado

Pontuação segura FAQ

Se eu abordar apenas três de quatro recomendações num controlo de segurança, a minha pontuação segura mudará?

N.º Não mudará até que remediar todas as recomendações para um único recurso. Para obter a pontuação máxima para um controlo, você deve remediar todas as recomendações, para todos os recursos.

Se uma recomendação não for aplicável a mim, e eu a desativar na apólice, o meu controlo de segurança será cumprido e a minha pontuação segura atualizada?

Sim. Recomendamos desativar recomendações quando são inaplicáveis no seu ambiente. Para obter instruções sobre como desativar uma recomendação específica, consulte as políticas de segurança para desativar.

Se um controlo de segurança me oferece zero pontos para a minha pontuação segura, devo ignorá-la?

Em alguns casos, verá uma pontuação máxima de controlo superior a zero, mas o impacto é zero. Quando a pontuação incremental para a fixação de recursos é insignificante, é arredondada para zero. Não ignore estas recomendações, pois ainda trazem melhorias de segurança. A única exceção é o controlo "Melhores Práticas Adicionais". Remediar estas recomendações não aumentará a sua pontuação, mas aumentará a sua segurança geral.

Passos seguintes

Este artigo descreveu a pontuação segura e os controlos de segurança que introduz. Para obter material relacionado, consulte os seguintes artigos: