Linha de base de segurança do Azure para Máquinas Virtuais – Windows Máquinas Virtuais
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 à Máquinas Virtuais – Windows Máquinas Virtuais. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Máquinas Virtuais – Windows Máquinas Virtuais.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Funcionalidades não aplicáveis ao Máquinas Virtuais – as Máquinas Virtuais do Windows foram excluídas. Para ver como Máquinas Virtuais – o Windows Máquinas Virtuais mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Máquinas Virtuais - Windows Máquinas Virtuais.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto de Máquinas Virtuais - Máquinas Virtuais do Windows, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Computação |
| O cliente pode aceder ao HOST/SO | Acesso Total |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Redes virtuais e máquinas virtuais no Azure
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Quando cria uma máquina virtual (VM) do Azure, tem de criar uma rede virtual ou utilizar uma rede virtual existente e configurar a VM com uma sub-rede. Certifique-se de que todas as sub-redes implementadas têm um Grupo de Segurança de Rede aplicado com controlos de acesso de rede específicos às portas e origens fidedignas das aplicações.
Referência: Grupos de segurança de rede
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à máquina virtual | Centro de Segurança do Azure identificou que algumas das regras de entrada dos grupos de segurança de rede são demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. | AuditIfNotExists, Desativado | 3.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais com acesso à Internet | Centro de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais com acesso à Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a potencial superfície de ataque | AuditIfNotExists, Desativado | 3.0.0 |
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize serviços ao nível do SO, como Windows Defender Firewall para fornecer filtragem de rede para desativar o acesso público.
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: inicie sessão numa máquina virtual do Windows no Azure com Azure AD incluindo sem palavra-passe
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: uma conta de administrador local é criada por predefinição durante a implementação inicial da máquina virtual. Evite a utilização de contas ou métodos de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: normalmente, a identidade gerida é aproveitada pela VM do Windows para autenticar noutros serviços. Se a VM do Windows suportar Azure AD autenticação, poderá ser suportada a identidade gerida.
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os principais de serviço podem ser utilizados por aplicações em execução na VM do Windows.
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implementada com a identidade gerida atribuída pelo sistema | A extensão configuração de convidado requer uma identidade gerida atribuída pelo sistema. As máquinas virtuais do Azure no âmbito desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída pelo sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, Desativado | 1.0.1 |
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize Azure AD como uma plataforma de autenticação principal para RDP na edição do Datacenter do Windows Server 2019 e posterior, ou Windows 10 1809 e posterior. Em seguida, pode controlar e impor centralmente o controlo de acesso baseado em funções (RBAC) do Azure e as políticas de Acesso Condicional que permitem ou negam o acesso às VMs.
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Referência: inicie sessão numa máquina virtual do Windows no Azure com Azure AD incluindo sem palavra-passe
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: no plano de dados ou sistema operativo, os serviços podem chamar o Azure Key Vault para obter credenciais ou segredos.
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Início Rápido: Criar uma máquina virtual do Windows no portal do Azure
PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize Azure AD como uma plataforma de autenticação principal para RDP na edição Windows Server 2019 Datacenter e posterior, ou Windows 10 1809 e posterior. Em seguida, pode controlar e impor centralmente o controlo de acesso baseado em funções (RBAC) do Azure e as políticas de Acesso Condicional que permitem ou negam o acesso às VMs.
Orientação de Configuração: com o RBAC, especifique quem pode iniciar sessão numa VM como um utilizador normal ou com privilégios de administrador. Quando os utilizadores aderirem à sua equipa, pode atualizar a política RBAC do Azure para que a VM conceda acesso conforme adequado. Quando os funcionários saem da sua organização e as respetivas contas de utilizador são desativadas ou removidas do Azure AD, já não têm acesso aos seus recursos.
Referência: inicie sessão numa máquina virtual do Windows no Azure com Azure AD incluindo sem palavra-passe
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Sistema de Proteção de Dados do Cliente para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: determinados protocolos de comunicação, como o SSH, são encriptados por predefinição. No entanto, outros serviços, como HTTP, têm de ser configurados para utilizar o TLS para encriptação.
Orientação de Configuração: ative a transferência segura nos serviços onde existe uma funcionalidade de encriptação de trânsito de dados nativos incorporada. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.
Referência: Encriptação em trânsito em VMs
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os computadores Windows devem ser configurados para utilizar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas através da Internet, as suas máquinas devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede ao encriptar uma ligação entre máquinas. | AuditIfNotExists, Desativado | 4.1.1 |
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: por predefinição, os discos geridos utilizam chaves de encriptação geridas pela plataforma. Todos os discos geridos, instantâneos, imagens e dados escritos em discos geridos existentes são automaticamente encriptados inativos com chaves geridas pela plataforma.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação do lado do servidor do Armazenamento de Discos do Azure – Chaves geridas pela plataforma
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre recursos de Computação e Armazenamento | Por predefinição, o SO e os discos de dados de uma máquina virtual são encriptados inativos através de chaves geridas pela plataforma. Os discos temporários, as caches de dados e os dados que fluem entre a computação e o armazenamento não são encriptados. Ignore esta recomendação se: 1. com encriptação no anfitrião ou 2. A encriptação do lado do servidor no Managed Disks cumpre os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do Armazenamento de Discos do Azure: https://aka.ms/disksse, Ofertas de encriptação de discos diferentes: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Desativado | 2.0.3 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: as máquinas virtuais do Linux devem ativar o Azure Disk Encryption ou EncryptionAtHost. | Por predefinição, o SO e os discos de dados de uma máquina virtual são encriptados inativos através de chaves geridas pela plataforma; Os discos temporários e as caches de dados não são encriptados e os dados não são encriptados quando fluem entre recursos de computação e armazenamento. Utilize o Azure Disk Encryption ou EncryptionAtHost para encriptar todos estes dados. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de encriptação. Esta política requer a implementação de dois pré-requisitos no âmbito da atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, Desativado | 1.2.0-preview |
DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário
Funcionalidades
Dados na Encriptação Rest Com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: pode optar por gerir a encriptação ao nível de cada disco gerido, com as suas próprias chaves. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. As chaves geridas pelo cliente oferecem uma maior flexibilidade para gerir os controlos de acesso.
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente para esses serviços.
Os discos virtuais no Máquinas Virtuais (VM) são encriptados inativos através da encriptação do lado do servidor ou da encriptação de disco do Azure (ADE). O Azure Disk Encryption tira partido da funcionalidade BitLocker do Windows para encriptar discos geridos com chaves geridas pelo cliente na VM convidada. A encriptação do lado do servidor com chaves geridas pelo cliente melhora no ADE ao permitir-lhe utilizar quaisquer tipos de SO e imagens para as suas VMs ao encriptar dados no serviço de Armazenamento.
Referência: Encriptação do lado do servidor do Armazenamento de Discos do Azure
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Criar e configurar um cofre de chaves para o Azure Disk Encryption numa VM do Windows
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: Azure Policy podem ser utilizadas para definir o comportamento pretendido para as VMs do Windows e VMs do Linux da sua organização. Ao utilizar políticas, uma organização pode impor várias convenções e regras em toda a empresa e definir e implementar configurações de segurança padrão para o Azure Máquinas Virtuais. A imposição do comportamento pretendido pode ajudar a mitigar o risco ao mesmo tempo que contribui para o sucesso da organização.
Referência: Azure Policy definições incorporadas para o Azure Máquinas Virtuais
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Utilize novos Resource Manager do Azure para as suas máquinas virtuais para fornecer melhoramentos de segurança, tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseada em Resource Manager do Azure, acesso a identidades geridas, acesso ao cofre de chaves para segredos, autenticação baseada em Azure AD e suporte para etiquetas e grupos de recursos para facilitar a segurança gestão | Auditoria, Negar, Desativado | 1.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Utilize novos Resource Manager do Azure para as suas máquinas virtuais para fornecer melhoramentos de segurança, tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseada em Resource Manager do Azure, acesso a identidades geridas, acesso ao cofre de chaves para segredos, autenticação baseada em Azure AD e suporte para etiquetas e grupos de recursos para facilitar a segurança gestão | Auditoria, Negar, Desativado | 1.0.0 |
AM-5: Utilizar apenas aplicações aprovadas na máquina virtual
Funcionalidades
Microsoft Defender para a Cloud – Controlos de Aplicação Adaptáveis
Descrição: o serviço pode limitar o que as aplicações de cliente executam na máquina virtual através de Controlos de Aplicação Adaptáveis no Microsoft Defender para a Cloud. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para controlos de aplicações adaptáveis da Cloud para detetar aplicações em execução em máquinas virtuais (VMs) e gerar uma lista de permissões de aplicações para ordenar as aplicações aprovadas que podem ser executadas no ambiente da VM.
Referência: Utilizar controlos de aplicação adaptáveis para reduzir as superfícies de ataque das suas máquinas
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controlos de aplicação adaptáveis para definir aplicações seguras devem ser ativados nos computadores | Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nos seus computadores e alerte-o quando outras aplicações forem executadas. Isto ajuda a proteger as suas máquinas contra software maligno. Para simplificar o processo de configuração e manutenção das regras, o Centro de Segurança utiliza machine learning para analisar as aplicações em execução em cada máquina e sugerir a lista de aplicações conhecidas seguras. | AuditIfNotExists, Desativado | 3.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controlos de aplicação adaptáveis para definir aplicações seguras devem ser ativados nos computadores | Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nos seus computadores e alerte-o quando outras aplicações forem executadas. Isto ajuda a proteger as suas máquinas contra software maligno. Para simplificar o processo de configuração e manutenção das regras, o Centro de Segurança utiliza machine learning para analisar as aplicações em execução em cada máquina e sugerir a lista de aplicações conhecidas seguras. | AuditIfNotExists, Desativado | 3.0.0 |
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o Defender para Servidores expande a proteção para os computadores Windows e Linux em execução no Azure. O Defender para Servidores integra-se com Microsoft Defender para Endpoint para fornecer deteção e resposta de pontos finais (EDR) e também fornece uma série de funcionalidades adicionais de proteção contra ameaças, tais como linhas de base de segurança e avaliações ao nível do SO, análise de avaliação de vulnerabilidades, controlos de aplicações adaptáveis (AAC), monitorização da integridade dos ficheiros (FIM) e muito mais.
Referência: Planear a implementação do Defender para Servidores
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard deve estar ativado nos seus computadores | Windows Defender Exploit Guard utiliza o agente de Configuração de Convidado Azure Policy. O Exploit Guard tem quatro componentes que foram concebidos para bloquear dispositivos contra uma grande variedade de vetores de ataque e bloquear comportamentos frequentemente utilizados em ataques de software maligno, ao mesmo tempo que permitem às empresas equilibrar os seus requisitos de risco e produtividade de segurança (apenas no Windows). | AuditIfNotExists, Desativado | 2.0.0 |
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o Azure Monitor começa a recolher automaticamente dados de métricas para o anfitrião da máquina virtual quando cria a VM. No entanto, para recolher registos e dados de desempenho do sistema operativo convidado da máquina virtual, tem de instalar o agente do Azure Monitor. Pode instalar o agente e configurar a recolha com as informações da VM ou criando uma regra de recolha de dados.
Referência: Descriçãogeral do agente do Log Analytics
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Linux | O Centro de Segurança utiliza o Microsoft Dependency Agent para recolher dados de tráfego de rede das máquinas virtuais do Azure para ativar funcionalidades avançadas de proteção de rede, como a visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, Desativado | 1.0.2-preview |
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Postura e gestão de vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: Automatização do Azure State Configuration podem ser utilizadas para manter a configuração de segurança do sistema operativo. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo.
Referência: Configurar uma VM com Desired State Configuration
Agente de Configuração de Convidado do Azure Policy
Descrição: Azure Policy agente de configuração de convidado pode ser instalado ou implementado como uma extensão para recursos de computação. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure Policy Configuração de Convidado é agora denominada Configuração do Computador de Gestão Automática do Azure.
Orientação de Configuração: utilize Microsoft Defender para a Cloud e Azure Policy agente de configuração convidado para avaliar e remediar regularmente desvios de configuração nos recursos de computação do Azure, incluindo VMs, contentores e outros.
Referência: Compreender a funcionalidade de configuração do computador do Azure Automanage
Imagens de VM Personalizadas
Descrição: o serviço suporta a utilização de imagens de VM fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize uma imagem protegida pré-configurada de um fornecedor fidedigno, como a Microsoft, ou crie uma linha de base de configuração segura pretendida no modelo de imagem da VM
Referência: Tutorial: Criar imagens de VM do Windows com Azure PowerShell
PV-4: Auditar e impor configurações seguras para recursos de computação
Funcionalidades
Máquina Virtual de Iniciação Fidedigna
Descrição: o Lançamento Fidedigno protege contra técnicas de ataque avançadas e persistentes ao combinar tecnologias de infraestrutura como o arranque seguro, o vTPM e a monitorização da integridade. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas. O lançamento fidedigno permite a implementação segura de máquinas virtuais com carregadores de arranque verificados, kernels de SO e controladores e protege de forma segura chaves, certificados e segredos nas máquinas virtuais. O lançamento fidedigno também fornece informações e confiança sobre a integridade de toda a cadeia de arranque e garante que as cargas de trabalho são fidedignas e verificáveis. O lançamento fidedigno está integrado no Microsoft Defender para a Cloud para garantir que as VMs estão configuradas corretamente, ao atestar remotamente que a VM é iniciada de forma saudável. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Nota de funcionalidade: a iniciação fidedigna está disponível para VMs de geração 2. O lançamento fidedigno requer a criação de novas máquinas virtuais. Não pode ativar o lançamento fidedigno em máquinas virtuais existentes que foram criadas inicialmente sem a mesma.
Orientação de Configuração: o lançamento fidedigno pode ser ativado durante a implementação da VM. Ative os três – Arranque Seguro, vTPM e monitorização de arranque de integridade para garantir a melhor postura de segurança para a máquina virtual. Tenha em atenção que existem alguns pré-requisitos, incluindo a integração da sua subscrição no Microsoft Defender para a Cloud, a atribuição de determinadas iniciativas de Azure Policy e a configuração de políticas de firewall.
Referência: Implementar uma VM com o lançamento fidedigno ativado
PV-5: Realizar avaliações de vulnerabilidades
Funcionalidades
Avaliação de Vulnerabilidades com Microsoft Defender
Descrição: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou outra capacidade de avaliação de vulnerabilidade incorporada de serviços Microsoft Defender (incluindo Microsoft Defender para servidor, registo de contentor Serviço de Aplicações, SQL e DNS). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: siga as recomendações do Microsoft Defender para a Cloud para realizar avaliações de vulnerabilidades nas suas máquinas virtuais do Azure.
Referência: Planear a implementação do Defender para Servidores
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidades deve ser ativada nas máquinas virtuais | Faz uma auditoria às máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidades suportada. Um componente principal de cada programa de risco e segurança cibernético é a identificação e análise de vulnerabilidades. O escalão de preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades das máquinas virtuais sem custos adicionais. Além disso, o Centro de Segurança pode implementar automaticamente esta ferramenta. | AuditIfNotExists, Desativado | 3.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidades deve ser ativada nas máquinas virtuais | Faz uma auditoria às máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidades suportada. Um componente principal de cada programa de risco e segurança cibernético é a identificação e análise de vulnerabilidades. O escalão de preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades das máquinas virtuais sem custos adicionais. Além disso, o Centro de Segurança pode implementar automaticamente esta ferramenta. | AuditIfNotExists, Desativado | 3.0.0 |
PV-6: remediar vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: o serviço pode utilizar Automatização do Azure Gestão de Atualizações para implementar correções e atualizações automaticamente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Automatização do Azure Gestão de Atualizações ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes estão instaladas nas suas VMs do Windows. Para VMs do Windows, certifique-se de Windows Update foi ativado e definido para atualizar automaticamente.
Referência: Gerir atualizações e patches para as suas VMs
Serviço de Aplicação de Patches de Convidado do Azure
Descrição: o serviço pode utilizar a Aplicação de Patches de Convidado do Azure para implementar patches e atualizações automaticamente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: os serviços podem tirar partido dos diferentes mecanismos de atualização, tais como Atualizações de Imagens do SO Automático e Aplicação de Patches Automática de Convidado. As capacidades são recomendadas para aplicar as atualizações críticas e de segurança mais recentes ao SO Convidado da Máquina Virtual ao seguir os Princípios de Implementação Segura.
A Aplicação de Patches Automática de Convidado permite-lhe avaliar e atualizar automaticamente as suas máquinas virtuais do Azure para manter a conformidade de segurança com as atualizações Críticas e de Segurança lançadas todos os meses. Atualizações são aplicadas fora das horas de ponta, incluindo VMs num conjunto de disponibilidade. Esta capacidade está disponível para Orquestração Flexível do VMSS, com suporte futuro no mapa de objetivos da Orquestração Uniforme.
Se executar uma carga de trabalho sem estado, as Atualizações de Imagens do SO Automático são ideais para aplicar a atualização mais recente para o Seu Uniforme VMSS. Com a capacidade de reversão, estas atualizações são compatíveis com o Marketplace ou imagens personalizadas. Suporte de atualização sem interrupção futuro no mapa de objetivos da Orquestração Flexível.
Referência: Aplicação de Patches Automática de Convidado da VM para VMs do Azure
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As atualizações de sistema devem ser instaladas nos seus computadores | As atualizações do sistema de segurança em falta nos servidores serão monitorizadas por Centro de Segurança do Azure como recomendações | AuditIfNotExists, Desativado | 4.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: As atualizações do sistema devem ser instaladas nas suas máquinas (com tecnologia Do Centro de Atualizações) | As máquinas virtuais estão em falta no sistema, segurança e atualizações críticas. As atualizações de software incluem frequentemente patches críticos para falhas de segurança. Estes buracos são frequentemente explorados em ataques de software maligno, pelo que é vital manter o software atualizado. Para instalar todos os patches pendentes e proteger as suas máquinas, siga os passos de remediação. | AuditIfNotExists, Desativado | 1.0.0-preview |
Endpoint security (Segurança de pontos finais)
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de pontos finais.
ES-1: Utilizar a Deteção e Resposta de Pontos Finais (EDR)
Funcionalidades
Solução EDR
Descrição: a funcionalidade de Deteção e Resposta de Pontos Finais (EDR), como o Azure Defender para servidores, pode ser implementada no ponto final. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o Azure Defender para servidores (com Microsoft Defender para Endpoint integrado) fornece a capacidade EDR para prevenir, detetar, investigar e responder a ameaças avançadas. Utilize Microsoft Defender para a Cloud para implementar o Azure Defender para servidores para o ponto final e integrar os alertas na sua solução SIEM, como o Azure Sentinel.
Referência: Planear a implementação do Defender para Servidores
ES-2: Utilizar software antimalware moderno
Funcionalidades
Solução Antimalware
Descrição: a funcionalidade antimalware, como Microsoft Defender Antivírus, Microsoft Defender para Endpoint pode ser implementada no ponto final. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: para Windows Server 2016 e posteriores, Microsoft Defender para Antivírus está instalado por predefinição. Para Windows Server 2012 R2 ou superior, os clientes podem instalar o SCEP (System Center Endpoint Protection). Em alternativa, os clientes também têm a opção de instalar produtos antimalware de terceiros.
Referência: Integração do Defender para Ponto Final no Windows Server
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os problemas de estado de funcionamento do Endpoint Protection devem ser resolvidos nos computadores | Resolva problemas de estado de funcionamento do endpoint protection nas máquinas virtuais para protegê-los contra ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais suportadas estão documentadas aqui – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação do Endpoint Protection está documentada aqui – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Desativado | 1.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os problemas de estado de funcionamento do Endpoint Protection devem ser resolvidos nos computadores | Resolva problemas de estado de funcionamento do endpoint protection nas máquinas virtuais para protegê-los contra ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais suportadas estão documentadas aqui – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação do Endpoint Protection está documentada aqui – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Desativado | 1.0.0 |
ES-3: Garantir que o software antimalware e as assinaturas são atualizados
Funcionalidades
Monitorização do Estado de Funcionamento da Solução Antimalware
Descrição: a solução antimalware fornece monitorização do estado de funcionamento para atualizações automáticas de plataformas, motores e assinaturas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: as informações de segurança e as atualizações de produto aplicam-se ao Defender para Endpoint, que pode ser instalado nas VMs do Windows.
Orientação de Configuração: configure a sua solução antimalware para garantir que a plataforma, o motor e as assinaturas são atualizados de forma rápida e consistente e que o respetivo estado pode ser monitorizado.
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.ClassicCompute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os problemas de estado de funcionamento do Endpoint Protection devem ser resolvidos nos computadores | Resolva problemas de estado de funcionamento do endpoint protection nas máquinas virtuais para protegê-los contra ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais suportadas estão documentadas aqui – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação do Endpoint Protection está documentada aqui – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Desativado | 1.0.0 |
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os problemas de estado de funcionamento do Endpoint Protection devem ser resolvidos nos computadores | Resolva problemas de estado de funcionamento do endpoint protection nas máquinas virtuais para protegê-los contra ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais suportadas estão documentadas aqui – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação do Endpoint Protection está documentada aqui – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Desativado | 1.0.0 |
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative Azure Backup e configure a origem da cópia de segurança (como o Azure Máquinas Virtuais, SQL Server, bases de dados HANA ou Partilhas de Ficheiros) numa frequência pretendida e com um período de retenção desejado. Para o Azure Máquinas Virtuais, pode utilizar Azure Policy para ativar cópias de segurança automáticas.
Referência: Opções de cópia de segurança e restauro para máquinas virtuais no Azure
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.Compute:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Azure Backup deve estar ativado para Máquinas Virtuais | Garanta a proteção do seu Máquinas Virtuais do Azure ao ativar Azure Backup. Azure Backup é uma solução de proteção de dados segura e económica para o Azure. | AuditIfNotExists, Desativado | 3.0.0 |
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure