-
Notifications
You must be signed in to change notification settings - Fork 326
/
Copy pathavs_checklist.pt.json
1151 lines (1151 loc) · 50 KB
/
avs_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
{
"categories": [
{
"name": "Identidade"
},
{
"name": "Rede"
},
{
"name": "Governança"
},
{
"name": "Gestão"
},
{
"name": "BCDR"
},
{
"name": "Automação de Plataformas"
}
],
"items": [
{
"category": "Identidade",
"guid": "32e42e36-11c8-418b-8a0b-c510e43a18a9",
"id": "A01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidade",
"text": "Verifique se os controladores de domínio ADDS estão implantados na assinatura de identidade no Azure nativo",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "75089c20-990d-4927-b105-885576f76fc2",
"id": "A01.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Identidade",
"text": "Verifique se os sites e serviços do ADDS estão configurados para manter as solicitações de autenticação de recursos baseados no Azure (incluindo a Solução VMware do Azure) locais para o Azure",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "de3aad1e-7c28-4ec9-9666-b7570449aa80",
"id": "A01.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidade",
"text": "Verifique se o vCenter está conectado ao ADDS para habilitar a autenticação com base em 'contas de usuário nomeadas'",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "cd289ced-6b17-4db8-8554-61e2aee3553a",
"id": "A01.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Identidade",
"text": "Verifique se a conexão do vCenter com o ADDS está usando um protocolo seguro (LDAPS)",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "b9d37dac-43bc-46cd-8d79-a9b24604489a",
"id": "A01.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Identidade",
"text": "A conta do CloudAdmin no vCenter IdP é usada apenas como uma conta de emergência (break-glass)",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "53d88e89-d17b-473b-82a5-a67e7a9ed5b3",
"id": "A01.06",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidade",
"text": "Certifique-se de que o NSX-Manager esteja integrado a um provedor de identidade externo (LDAPS)",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "ae0e37ce-e297-411b-b352-caaab79b198d",
"id": "A01.07",
"service": "AVS",
"severity": "Média",
"subcategory": "Identidade",
"text": "Foi criado um modelo RBAC para uso no VMware vSphere",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "ab81932c-9fc9-4d1b-a780-36f5e6bfbb9e",
"id": "A01.08",
"service": "AVS",
"severity": "Média",
"subcategory": "Identidade",
"text": "As permissões RBAC devem ser concedidas em grupos ADDS e não em usuários específicos",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "d503547c-c447-4e82-9128-a71f0f1cac6d",
"id": "A01.09",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidade",
"text": "As permissões RBAC no recurso Solução VMware do Azure no Azure são 'bloqueadas' apenas para um conjunto limitado de proprietários",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "fd9f0df4-68dc-4976-b9a9-e6a79f7682c5",
"id": "A01.10",
"service": "AVS",
"severity": "Alto",
"subcategory": "Identidade",
"text": "Certifique-se de que todas as funções personalizadas tenham escopo com autorizações permitidas do CloudAdmin",
"waf": "Segurança"
},
{
"category": "Rede",
"guid": "9ef1d5e8-32e4-42e3-911c-818b0a0bc510",
"id": "B01.01",
"link": "https://github.com/Azure/AzureCAT-AVS/tree/main/networking",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitetura",
"text": "O modelo de conectividade correto da Solução VMware do Azure está selecionado para o caso de uso do cliente em mãos?",
"waf": "Desempenho"
},
{
"category": "Rede",
"guid": "eb710a37-cbc1-4055-8dd5-a936a8bb7cf5",
"id": "B02.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Garantir que as conexões de Rota Expressa ou VPN do local para o Azure sejam monitoradas usando o 'monitor de conexão'",
"waf": "Operações"
},
{
"category": "Rede",
"guid": "976e24f2-a7f8-426c-9253-2a92a2a7ed99",
"id": "B02.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Verifique se um monitor de conexão foi criado a partir de um recurso nativo do Azure para uma máquina virtual da Solução VMware do Azure para monitorar a conexão de Rota Expressa de back-end da Solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Rede",
"guid": "f41ce6a0-64f3-4805-bc65-3ab50df01265",
"id": "B02.03",
"service": "AVS",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Verifique se um monitor de conexão é criado a partir de um recurso local para uma máquina virtual da Solução VMware do Azure para monitorar a conectividade de ponta 2",
"waf": "Operações"
},
{
"category": "Rede",
"guid": "563b4dc7-4a74-48b6-933a-d1a0916a6649",
"id": "B03.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Roteamento",
"text": "Quando o servidor de rotas for usado, certifique-se de que não mais de 1000 rotas sejam propagadas do servidor de rotas para o gateway ExR para o local (limite ARS).",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "6128a71f-0f1c-4ac6-b9ef-1d5e832e42e3",
"id": "C01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (identidade)",
"text": "O Gerenciamento de Identidades Privilegiadas é implementado para funções que gerenciam o recurso da Solução VMware do Azure no Portal do Azure (não são permitidas permissões permanentes)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "c4e2436b-b336-4d71-9f17-960eee0b9b5c",
"id": "C01.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (identidade)",
"text": "Os relatórios de auditoria do Gerenciamento de Identidades Privilegiadas devem ser implementados para as funções PIM da Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "78c447a8-26b2-4863-af0f-1cac599ef1d5",
"id": "C01.03",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (identidade)",
"text": "Se o uso do Gerenciamento de Identidades Privilegiadas estiver sendo usado, certifique-se de que uma conta válida habilitada para ID do Entra seja criada com um registro SMTP válido para notificações de substituição automática do Host da Solução VMware do Azure. (permissões permanentes necessárias)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "8defc4d7-21d3-41d2-90fb-707ae9eab40e",
"id": "C01.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (identidade)",
"text": "Limitar o uso da conta do CloudAdmin apenas ao acesso de emergência",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "d329f798-bc17-48bd-a5a0-6ca7144351d1",
"id": "C01.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (identidade)",
"text": "Criar funções RBAC personalizadas no vCenter para implementar um modelo de privilégios mínimos dentro do vCenter",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "9dd24429-eb72-4281-97a1-51c5bb4e4f18",
"id": "C01.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (identidade)",
"text": "É um processo definido para alternar regularmente as credenciais cloudadmin (vCenter) e admin (NSX)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "586cb291-ec16-4a1d-876e-f9f141acdce5",
"id": "C01.07",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (identidade)",
"text": "Usar um provedor de identidade centralizado a ser usado para cargas de trabalho (VMs) em execução na Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "79377bcd-b375-41ab-8ab0-ead66e15d3d4",
"id": "C02.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (rede)",
"text": "A filtragem de tráfego Leste-Oeste é implementada no NSX-T",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "a2adb1c3-d232-46af-825c-a44e1695fddd",
"id": "C02.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (rede)",
"text": "As cargas de trabalho na Solução VMware do Azure não são diretamente expostas à Internet. O tráfego é filtrado e inspecionado pelo Gateway de Aplicativo do Azure, pelo Firewall do Azure ou por soluções de terceiros",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "eace4cb1-deb4-4c65-8c3f-c14eeab36938",
"id": "C02.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Segurança (rede)",
"text": "A auditoria e o registro em log são implementados para solicitações de entrada da Internet para cargas de trabalho baseadas na Solução VMware do Azure e na Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "29e3eec2-1836-487a-8077-a2b5945bda43",
"id": "C02.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (rede)",
"text": "O monitoramento de sessão é implementado para conexões de saída da Internet a partir da Solução VMware do Azure ou cargas de trabalho baseadas na Solução VMware do Azure para identificar atividades suspeitas/mal-intencionadas",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "334fdf91-c234-4182-a652-75269440b4be",
"id": "C02.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (rede)",
"text": "A proteção padrão contra DDoS está habilitada na sub-rede do Gateway ExR/VPN no Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "3d3e0843-276d-44bd-a015-bcf219e4a1eb",
"id": "C02.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (rede)",
"text": "Usar uma estação de trabalho de acesso privilegiado (PAW) dedicada para gerenciar a Solução VMware do Azure, o vCenter, o gerenciador NSX e o gerenciador HCX",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "9ccbd869-266a-4cca-874f-aa19bf39d95d",
"id": "C03.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (convidado/VM)",
"text": "Habilitar a Detecção Avançada de Ameaças (Microsoft Defender for Cloud, também conhecido como ASC) para cargas de trabalho em execução na Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "44c7c891-9ca1-4f6d-9315-ae524ba34d45",
"id": "C03.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (convidado/VM)",
"text": "Usar o Azure ARC for Servers para controlar corretamente as cargas de trabalho em execução na Solução VMware do Azure usando tecnologias nativas do Azure (o Azure ARC for Azure VMware Solution ainda não está disponível)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "85e12139-bd7b-4b01-8f7b-95ef6e043e2a",
"id": "C03.03",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Segurança (convidado/VM)",
"text": "Garanta que as cargas de trabalho na Solução VMware do Azure usem criptografia de dados suficiente durante o tempo de execução (como criptografia de disco convidado e SQL TDE). (a criptografia vSAN em repouso é padrão)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "a3592718-e6e2-4051-9267-6ae46691e883",
"id": "C03.04",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Segurança (convidado/VM)",
"text": "Quando a criptografia no convidado é usada, armazene chaves de criptografia no cofre de chaves do Azure quando possível",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "5ac94222-3e13-4810-9230-81a941741583",
"id": "C03.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança (convidado/VM)",
"text": "Considere usar o suporte estendido de atualização de segurança para cargas de trabalho em execução na Solução VMware do Azure (a Solução VMware do Azure é qualificada para ESU)",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "3ef7ad7c-6d37-4331-95c7-acbe44bbe609",
"id": "C04.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Governança (plataforma)",
"text": "Certifique-se de que o método de redundância de dados vSAN apropriado seja usado (especificação RAID)",
"waf": "Fiabilidade"
},
{
"category": "Governança",
"guid": "d88408f3-7273-44c8-96ba-280214590146",
"id": "C04.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Governança (plataforma)",
"text": "Certifique-se de que a política de falha na tolerância esteja em vigor para atender às suas necessidades de armazenamento vSAN",
"waf": "Fiabilidade"
},
{
"category": "Governança",
"guid": "d89f2e87-7784-424d-9167-85c6fa95b96a",
"id": "C04.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Governança (plataforma)",
"text": "Certifique-se de ter solicitado cota suficiente, garantindo que você tenha considerado o crescimento e o requisito de recuperação de desastres",
"waf": "Fiabilidade"
},
{
"category": "Governança",
"guid": "5d38e53f-9ccb-4d86-a266-acca274faa19",
"id": "C04.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (plataforma)",
"text": "Certifique-se de que as restrições de acesso ao ESXi sejam compreendidas, há limites de acesso que podem afetar as soluções de terceiros 3rd.",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "bf39d95d-44c7-4c89-89ca-1f6d5315ae52",
"id": "C04.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (plataforma)",
"text": "Certifique-se de ter uma política em torno da densidade e eficiência do host ESXi, tendo em mente o prazo de espera para solicitar novos nós",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "4ba34d45-85e1-4213-abd7-bb012f7b95ef",
"id": "C04.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (plataforma)",
"text": "Garantir que um bom processo de gerenciamento de custos esteja em vigor para a Solução VMware do Azure - o Gerenciamento de Custos do Azure pode ser usado",
"waf": "Custar"
},
{
"category": "Governança",
"guid": "6e043e2a-a359-4271-ae6e-205172676ae4",
"id": "C04.07",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Governança (plataforma)",
"text": "As instâncias reservadas do Azure são usadas para otimizar o custo de uso da Solução VMware do Azure",
"waf": "Custar"
},
{
"category": "Governança",
"guid": "6691e883-5ac9-4422-83e1-3810523081a9",
"id": "C04.08",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (plataforma)",
"text": "Considere o uso do Azure Private-Link ao usar outros Serviços Nativos do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "db611712-6904-40b4-aa3d-3e0803276d4b",
"id": "C04.09",
"service": "AVS",
"severity": "Alto",
"subcategory": "Governança (plataforma)",
"text": "Verifique se todos os recursos necessários residem na(s) mesma(s) zona(s) de disponibilidade do Azure",
"waf": "Desempenho"
},
{
"category": "Governança",
"guid": "48b262d6-cc5f-4512-a253-98e6db9d37da",
"id": "C05.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (convidado/VM)",
"text": "Habilitar cargas de trabalho de VM convidada do Microsoft Defender for Cloud for Azure VMware Solution",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "41741583-3ef7-4ad7-a6d3-733165c7acbe",
"id": "C05.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (convidado/VM)",
"text": "Usar servidores habilitados para Arc do Azure para gerenciar suas cargas de trabalho de VM convidada da Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "88f03a4d-2cd4-463c-abbc-868295abc91a",
"id": "C05.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Governança (convidado/VM)",
"text": "Habilitar o log de diagnóstico e de métrica na solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "4ed90dae-2cc8-44c4-9b6b-781cbafe6c46",
"id": "C05.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (convidado/VM)",
"text": "Implantar os agentes do Log Analytics nas cargas de trabalho da VM convidada da Solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "589d457a-927c-4397-9d11-02cad6aae11e",
"id": "C05.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Governança (convidado/VM)",
"text": "Verifique se você tem uma política e uma solução de backup documentadas e implementadas para cargas de trabalho de VM da Solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Governança",
"guid": "ee29711b-d352-4caa-ab79-b198dab81932",
"id": "C06.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Conformidade",
"text": "Usar o Microsoft Defender for Cloud para monitoramento de conformidade de cargas de trabalho em execução no Azure VMware Solution",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "c9fc9d1b-b780-436f-9e6b-fbb9ed503547",
"id": "C06.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Conformidade",
"text": "São as linhas de base de conformidade aplicáveis adicionadas ao Microsoft Defender for Cloud",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "cc447e82-6128-4a71-b0f1-cac6d9ef1d5e",
"id": "C06.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Conformidade",
"text": "A residência de dados foi avaliada ao selecionar regiões do Azure a serem usadas para a implantação da Solução VMware do Azure",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "832e42e3-611c-4818-a0a0-bc510e43a18a",
"id": "C06.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Conformidade",
"text": "As implicações do processamento de dados (modelo de prestador de serviços / consumidor de serviços) são claras e documentadas",
"waf": "Segurança"
},
{
"category": "Governança",
"guid": "547c1747-dc56-4068-a714-435cd19dd244",
"id": "C06.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Conformidade",
"text": "Considere o uso de CMK (Customer Managed Key) para vSAN somente se necessário por motivo(s) de conformidade.",
"waf": "Segurança"
},
{
"category": "Gestão",
"guid": "e43a18a9-cd28-49ce-b6b1-7db8255461e2",
"id": "D01.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Criar painéis para habilitar os principais insights de monitoramento da Solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "6b84ee5d-f47d-42d9-8881-b1cd5d1e54a2",
"id": "D01.02",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Criar alertas de aviso para limites críticos para alertas automáticos sobre o desempenho da solução VMware do Azure (CPU >80%, memória média >80%, vSAN >70%)",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "9659e396-80e7-4828-ac93-5657d02bff45",
"id": "D01.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Certifique-se de que o alerta crítico seja criado para monitorar se o consumo de vSAN está abaixo de 75%, pois esse é um limite de suporte do VMware",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "64b0d934-a348-4726-be79-d6b5c3a36495",
"id": "D01.04",
"service": "AVS",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Verifique se os alertas estão configurados para alertas e notificações de Integridade do Serviço do Azure",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "b6abad38-aad5-43cc-99e1-d86667357c54",
"id": "D01.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Configurar o log da Solução VMware do Azure para ser enviado a uma conta de Armazenamento do Azure ou ao Azure EventHub para processamento",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "9674c5ed-85b8-459c-9733-be2b1a27b775",
"id": "D01.06",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Monitorização",
"text": "Se for necessário um insight profundo no VMware vSphere: o vRealize Operations e/ou o vRealize Network Insights são usados na solução?",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "a91be1f3-88f0-43a4-b2cd-463cbbbc8682",
"id": "D02.01",
"service": "AVS",
"severity": "Alto",
"subcategory": "Operações",
"text": "Verifique se a política de armazenamento vSAN para VMs NÃO é a política de armazenamento padrão, pois essa política aplica provisionamento espesso",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "d9ef1d5e-832d-442e-9611-c818b0afbc51",
"id": "D02.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Verifique se as bibliotecas de conteúdo do vSphere não são colocadas no vSAN, pois o vSAN é um recurso finito",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "0e43a18a-9cd2-489b-bd6b-17db8255461e",
"id": "D02.03",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Certifique-se de que os repositórios de dados da solução de backup sejam armazenados fora do armazenamento vSAN. No nativo do Azure ou em um armazenamento de dados com backup de pool de discos",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "2aee3453-aec8-4339-848b-262d6cc5f512",
"id": "D02.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Garantir que as cargas de trabalho em execução na Solução VMware do Azure sejam gerenciadas de forma híbrida usando o Azure Arc for Servers (a Solução VMware do Arc for Azure está em visualização)",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "925398e6-da9d-437d-ac43-bc6cd1d79a9b",
"id": "D02.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Garantir que as cargas de trabalho em execução na Solução VMware do Azure sejam monitoradas usando o Azure Log Analytics e o Azure Monitor",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "24604489-a8f4-42d7-ae78-cb6a33bd2a09",
"id": "D02.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Incluir cargas de trabalho em execução na Solução VMware do Azure nas ferramentas de gerenciamento de atualizações existentes ou no Gerenciamento de Atualizações do Azure",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "17e7a8d9-0ae0-4e27-aee2-9711bd352caa",
"id": "D02.07",
"service": "AVS",
"severity": "Média",
"subcategory": "Operações",
"text": "Usar a Política do Azure para integrar cargas de trabalho da Solução VMware do Azure nas soluções de Gerenciamento, Monitoramento e Segurança do Azure",
"waf": "Operações"
},
{
"category": "Gestão",
"guid": "aee3553a-fc83-4392-98b2-62d6cc5f5129",
"id": "D03.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Segurança",
"text": "Garantir que as cargas de trabalho em execução na Solução VMware do Azure sejam integradas ao Microsoft Defender for Cloud",
"waf": "Segurança"
},
{
"category": "BCDR",
"guid": "25398e6d-b9d3-47da-a43b-c6cd1d79a9b2",
"id": "E01.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Backup",
"text": "Certifique-se de que os backups não sejam armazenados no vSAN, pois o vSAN é um recurso finito",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "5e6bfbb9-ed50-4354-9cc4-47e826028a71",
"id": "E02.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Recuperação de desastres",
"text": "Todas as soluções de DR foram consideradas e uma solução que é melhor para o seu negócio foi decidida? [SRM/JetStream/Zerto/Veeam/...]",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "f0f1cac6-d9ef-41d5-b832-d42e3611c818",
"id": "E02.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Recuperação de desastres",
"text": "Usar o Azure Site Recovery quando a tecnologia de Recuperação de Desastres for IaaS nativa do Azure",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "b0afbc51-0e43-4a18-a9cd-289bed6b17db",
"id": "E02.03",
"service": "AVS",
"severity": "Alto",
"subcategory": "Recuperação de desastres",
"text": "Use planos de recuperação automatizados com qualquer uma das soluções de desastre, evite ao máximo tarefas manuais",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "8255461e-2aee-4345-9aec-8339248b262d",
"id": "E02.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Recuperação de desastres",
"text": "Usar o par de regiões geopolíticas como o ambiente secundário de recuperação de desastres",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "6cc5f512-9253-498e-9da9-d37dac43bc6c",
"id": "E02.05",
"service": "AVS",
"severity": "Alto",
"subcategory": "Recuperação de desastres",
"text": "Use 2 espaços de endereço diferentes entre as regiões, por exemplo: 10.0.0.0/16 e 192.168.0.0/16 para as diferentes regiões",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "d1d79a9b-2460-4448-aa8f-42d78e78cb6a",
"id": "E02.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Recuperação de desastres",
"text": "O ExpressRoute Global Reach será usado para conectividade entre as Nuvens Privadas da Solução VMware do Azure primária e secundária ou o roteamento é feito por meio de dispositivos virtuais de rede?",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "33bd2a09-17e7-4a8d-a0ae-0e27cee29711",
"id": "E03.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Continuidade de Negócios",
"text": "Todas as soluções de backup foram consideradas e uma solução que é melhor para o seu negócio foi decidida? [ MABS/CommVault/Metallic.io/Veeam/ . ]",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "bd352caa-ab79-4b18-adab-81932c9fc9d1",
"id": "E03.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Continuidade de Negócios",
"text": "Implante sua solução de backup na mesma região que sua nuvem privada da Solução VMware do Azure",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "bb77036f-5e6b-4fbb-aed5-03547cc447e8",
"id": "E03.03",
"service": "AVS",
"severity": "Média",
"subcategory": "Continuidade de Negócios",
"text": "Implante sua solução de backup fora do vSan, em componentes nativos do Azure",
"waf": "Fiabilidade"
},
{
"category": "BCDR",
"guid": "26028a71-f0f1-4cac-9d9e-f1d5e832d42e",
"id": "E03.04",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Continuidade de Negócios",
"text": "Existe um processo para solicitar uma restauração dos componentes VMware gerenciados pela Plataforma Azure?",
"waf": "Fiabilidade"
},
{
"category": "Automação de Plataformas",
"guid": "4604489a-8f42-4d78-b78c-b7a33bd2a0a1",
"id": "F01.01",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Estratégia de implantação",
"text": "Para implantações manuais, todas as configurações e implantações devem ser documentadas",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "7e7a8d90-ae0e-437c-be29-711bd352caaa",
"id": "F01.02",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Estratégia de implantação",
"text": "Para implantações manuais, considere implementar bloqueios de recursos para evitar ações acidentais em sua nuvem privada de solução VMware do Azure",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "b79b198d-ab81-4932-a9fc-9d1bb78036f5",
"id": "F02.01",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Implantação automatizada",
"text": "Para implantações automatizadas, implante uma nuvem privada mínima e dimensione conforme necessário",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "e6bfbb9e-d503-4547-ac44-7e826128a71f",
"id": "F02.02",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Implantação automatizada",
"text": "Para implantações automatizadas, solicite ou reserve cota antes de iniciar a implantação",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "0f1cac6d-9ef1-4d5e-a32e-42e3611c818b",
"id": "F02.03",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Implantação automatizada",
"text": "Para implantação automatizada, verifique se os bloqueios de recursos relevantes são criados por meio da automação ou da Política do Azure para uma governança adequada",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "e2cc95d4-8c6b-4791-bca0-f6c56589e558",
"id": "F03.01",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Conectividade automatizada",
"text": "Implemente nomes humanos compreensíveis para chaves de autorização ExR para permitir a fácil identificação da finalidade/uso das chaves",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "255461e2-aee3-4553-afc8-339248b262d6",
"id": "F03.02",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Conectividade automatizada",
"text": "Usar o Cofre de chaves para armazenar segredos e chaves de autorização quando Princípios de Serviço separados são usados para implantar a Solução VMware do Azure e a Rota Expressa",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "cc5f5129-2539-48e6-bb9d-37dac43bc6cd",
"id": "F03.03",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Conectividade automatizada",
"text": "Defina dependências de recursos para serializar ações no IaC quando muitos recursos precisarem ser implantados no/na Solução VMware do Azure, pois a Solução VMware do Azure oferece suporte apenas a um número limitado de operações paralelas.",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "1d79a9b2-4604-4489-a8f4-2d78e78cb7a3",
"id": "F03.04",
"service": "AVS",
"severity": "Baixo",
"subcategory": "Conectividade automatizada",
"text": "Ao executar a configuração automatizada de segmentos NSX-T com um único gateway de Camada 1, use as APIs do Portal do Azure em vez das APIs do NSX-Manager",
"waf": "Operações"
},
{
"category": "Automação de Plataformas",
"guid": "3bd2a0a1-7e7a-48d9-8ae0-e37cee29711b",
"id": "F04.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "Ao pretender usar a expansão automatizada, certifique-se de aplicar cota suficiente da Solução VMware do Azure para as assinaturas que executam a Solução VMware do Azure",
"waf": "Desempenho"
},
{
"category": "Automação de Plataformas",
"guid": "d352caaa-b79b-4198-bab8-1932c9fc9d1b",
"id": "F04.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "Ao pretender usar o scale-in automatizado, certifique-se de levar em consideração os requisitos da política de armazenamento antes de executar essa ação",
"waf": "Desempenho"
},
{
"category": "Automação de Plataformas",
"guid": "b78036f5-e6bf-4bb9-bd50-3547cc447e82",
"id": "F04.03",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "As operações de dimensionamento sempre precisam ser serializadas em um único SDDC, pois apenas uma operação de escala pode ser executada por vez (mesmo quando vários clusters são usados)",
"waf": "Desempenho"
},
{
"category": "Automação de Plataformas",
"guid": "bf15bce2-19e4-4a0e-a588-79424d226786",
"id": "F04.04",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "Considerar e validar operações de dimensionamento em soluções de terceiros 3rd usadas na arquitetura (suportadas ou não)",
"waf": "Desempenho"
},
{
"category": "Automação de Plataformas",
"guid": "d20b56c5-7be5-4851-a0f8-3835c586cb29",
"id": "F04.05",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "Definir e impor limites máximos de entrada/saída de escala para seu ambiente nas automações",
"waf": "Desempenho"
},
{
"category": "Automação de Plataformas",
"guid": "1dc15a1c-075e-4e9f-841a-cccd579376bc",
"id": "F04.06",
"service": "AVS",
"severity": "Média",
"subcategory": "Balança Automatizada",
"text": "Implementar regras de monitoramento para monitorar operações de dimensionamento automatizadas e monitorar o sucesso e a falha para habilitar respostas apropriadas (automatizadas)",
"waf": "Operações"
},
{
"category": "Migração",
"guid": "c5972cd4-cd21-4b07-9036-f5e6b4bfd3d5",
"id": "G01.01",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitetura",
"text": "Ao usar o MON, esteja ciente dos limites de VMs configuradas simulataneamente (MON Limit for HCX [400 - standard, 1000 - Larger appliance])",
"training": "https://learn.microsoft.com/learn/modules/configure-azure-ad-application-proxy/",
"waf": "Fiabilidade"
},
{
"category": "Migração",
"guid": "be1f38cf-03a8-422b-b463-cbbbc8ac299e",
"id": "G01.02",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"service": "AVS",
"severity": "Alto",
"subcategory": "Arquitetura",
"text": "Ao usar o MON, você não pode habilitar o MON em mais de 100 extensões de rede",
"training": "https://learn.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"waf": "Fiabilidade"
},
{
"category": "Migração",
"guid": "bc91a43d-90da-4e2c-a881-4706f7c1cbaf",
"id": "G02.01",
"service": "AVS",
"severity": "Média",
"subcategory": "Rede",
"text": "Se estiver usando uma conexão VPN para migrações, ajuste o tamanho da MTU de acordo.",
"waf": "Desempenho"
},
{
"category": "Migração",
"guid": "e614658d-d457-4e92-9139-b821102cad6e",
"id": "G02.02",
"service": "AVS",
"severity": "Média",
"subcategory": "Rede",
"text": "Para regiões de baixa conectividade conectadas ao Azure (500Mbps ou menos), considere implantar o dispositivo de otimização de WAN HCX",
"waf": "Desempenho"
},
{
"category": "Migração",
"guid": "ae01e6e8-43e5-42f4-922d-928c1b1cd521",
"id": "G03,01",
"service": "AVS",
"severity": "Média",
"subcategory": "Processo",
"text": "Certifique-se de que as migrações sejam iniciadas a partir do dispositivo local e NÃO do dispositivo em nuvem (NÃO execute uma migração reversa)",
"waf": "Fiabilidade"
},
{
"category": "Armazenamento de dados",
"guid": "e54a29a9-de39-4ac0-b7c2-8dc935657202",