-
Notifications
You must be signed in to change notification settings - Fork 329
/
Copy pathazure_arc_checklist.pt.json
530 lines (530 loc) · 29.1 KB
/
azure_arc_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
{
"categories": [
{
"name": "Fundação"
},
{
"name": "Identidade"
},
{
"name": "Rede"
},
{
"name": "Segurança, Governança e Conformidade"
},
{
"name": "Gestão e Monitoramento"
}
],
"items": [
{
"category": "Fundação",
"description": "Definir uma estrutura de grupo de recursos para posicionamento de recursos de servidores habilitados para Azure Arc",
"guid": "585e1112-9bd7-4ba0-82f7-b94ef6e043d2",
"severity": "Alto",
"subcategory": "Planejamento de capacidade",
"text": "Um ou mais grupos de recursos são necessários para integrar servidores ao Azure",
"waf": "Operações"
},
{
"category": "Fundação",
"guid": "aa359271-8e6e-4205-8725-769e46691e88",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#azure-subscription-and-service-limits",
"severity": "Média",
"subcategory": "Planejamento de capacidade",
"text": "Leve em conta as limitações de objeto do Azure Active Directory",
"waf": "Desempenho"
},
{
"category": "Fundação",
"description": "Os seguintes provedores de recursos precisam ser registrados: Microsoft.HybridCompute, Microsoft.GuestConfiguration, Microsoft.HybridConnectivity",
"guid": "deace4bb-1deb-44c6-9fc3-fc14eeaa3692",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#azure-resource-providers",
"severity": "Alto",
"subcategory": "Geral",
"text": "Os provedores de recursos necessários foram registrados em todas as assinaturas",
"waf": "Operações"
},
{
"category": "Fundação",
"description": "É recomendável alinhar-se a uma estratégia de marcação existente ou criar uma estratégia de marcação do Azure. As tags de recursos permitem localizá-lo rapidamente, automatizar tarefas operacionais e muito mais. ",
"guid": "c6d37331-65c7-4acb-b44b-be609d79f2e8",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/decision-guides/resource-tagging/",
"severity": "Baixo",
"subcategory": "Geral",
"text": "Foi definida uma estratégia de marcação para servidores habilitados para Azure Arc",
"waf": "Custar"
},
{
"category": "Fundação",
"description": "A instalação do agente de máquina conectada é suportada na maioria dos sistemas operacionais Windows e Linux mais recentes, revise o link para ver a lista mais recente",
"guid": "7778424c-5167-475c-9fa9-5b96ad88408e",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#supported-operating-systems",
"severity": "Alto",
"subcategory": "Geral",
"text": "Quais sistemas operacionais precisam ser habilitados para Azure Arc",
"waf": "Operações"
},
{
"category": "Fundação",
"description": "Existem requisitos de software para a instalação do agente. Alguns podem exigir uma reinicialização do sistema após a instalação, revise para vincular",
"guid": "372734b8-76ba-428f-8145-901365d38e53",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#software-requirements",
"severity": "Alto",
"subcategory": "Geral",
"text": "São necessários softwares instalados em servidores Windows e Linux para suportar a instalação",
"waf": "Operações"
},
{
"category": "Fundação",
"guid": "d44c7c89-19ca-41f6-b521-5ae514ba34d4",
"link": "https://azure.microsoft.com/explore/global-infrastructure/products-by-region/?products=azure-arc®ions=all",
"severity": "Alto",
"subcategory": "Geral",
"text": "Certifique-se de usar uma região do Azure com suporte",
"waf": "Fiabilidade"
},
{
"category": "Fundação",
"description": "O escopo inclui a organização em grupos de gerenciamento, assinaturas e grupos de recursos.",
"guid": "f9ccbd86-8266-4abc-a264-f9a19bf39d95",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/organize-inventory-servers#organize-resources-with-built-in-azure-hierarchies",
"severity": "Baixo",
"subcategory": "Organização",
"text": "Definir a estrutura para o gerenciamento de recursos do Azure",
"waf": "Desempenho"
},
{
"category": "Identidade",
"description": "Defina regras RBAC para os servidores/grupos de recursos conforme necessário para o gerenciamento de servidores, a função 'Administrador de Recursos de Máquina Conectada do Azure' ou 'Administrador de Recursos de Servidor Híbrido' seria suficiente para o gerenciamento dos recursos de servidores habilitados para Azure Arc no Azure",
"guid": "9bf39d95-d44c-47c8-a19c-a1f6d5215ae5",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/security-overview#identity-and-access-control",
"severity": "Média",
"subcategory": "Acesso",
"text": "Atribuir direitos RBAC ao acesso de usuário/grupo do Azure AD para gerenciar servidores habilitados para Azure Arc",
"waf": "Segurança"
},
{
"category": "Identidade",
"guid": "14ba34d4-585e-4111-89bd-7ba012f7b94e",
"link": "https://learn.microsoft.com/azure/active-directory/managed-identities-azure-resources/tutorial-windows-vm-access-nonaad",
"severity": "Baixo",
"subcategory": "Acesso",
"text": "Considere o uso de identidades gerenciadas para aplicativos acessarem recursos do Azure, como o exemplo do Key Vault no link",
"waf": "Segurança"
},
{
"category": "Identidade",
"description": "Uma assinatura do Azure deve ser pai do mesmo locatário do Azure AD",
"guid": "35ac9322-23e1-4380-8523-081a94174158",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#azure-subscription-and-service-limits",
"severity": "Alto",
"subcategory": "Requisitos",
"text": "Um locatário do Azure Active Directory deve estar disponível com pelo menos uma assinatura",
"waf": "Operações"
},
{
"category": "Identidade",
"description": "Os usuários (ou SPs) precisam da função 'Azure Connected Machine Onboarding' ou 'Colaborador' para a integração de servidores",
"guid": "33ee7ad6-c6d3-4733-865c-7acbe44bbe60",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#required-permissions",
"severity": "Média",
"subcategory": "Requisitos",
"text": "Definir quais usuários (usuários/grupos do AAD) têm acesso a servidores habilitados para Azure Arc integrados",
"waf": "Segurança"
},
{
"category": "Identidade",
"description": "Certifique-se de adicionar apenas os direitos aos usuários ou grupos necessários para desempenhar sua função",
"guid": "9d79f2e8-7778-4424-a516-775c6fa95b96",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/onboard-service-principal#create-a-service-principal-for-onboarding-at-scale",
"severity": "Média",
"subcategory": "Segurança",
"text": "Use o princípio dos menos privilegiados",
"waf": "Segurança"
},
{
"category": "Identidade",
"description": "Um princípio de serviço com a função 'Integração de Máquina Conectada do Azure' é necessário para a integração em escala de servidores, considere mais SPs se a integração for feita por equipes diferentes/gerenciamento descentralizado",
"guid": "ad88408e-3727-434b-a76b-a28f21459013",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/onboard-service-principal#create-a-service-principal-for-onboarding-at-scale",
"severity": "Média",
"subcategory": "Segurança",
"text": "Quantas entidades de serviço são necessárias para integrar servidores habilitados para Arc no Azure",
"waf": "Segurança"
},
{
"category": "Identidade",
"description": "Considere atribuir os direitos para a função 'Integração de Máquinas Conectadas do Azure' no nível do grupo de recursos, para controlar a criação de recursos",
"guid": "65d38e53-f9cc-4bd8-9826-6abca264f9a1",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/prerequisites#required-permissions",
"severity": "Média",
"subcategory": "Segurança",
"text": "Limitar os direitos de integrar servidores habilitados para Azure Arc aos grupos de recursos desejados",
"waf": "Segurança"
},
{
"category": "Gestão e Monitoramento",
"description": "Planejar implantações de agentes em escala",
"guid": "6ee79d6b-5c2a-4364-a4b6-9bad38aad53c",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/plan-at-scale-deployment",
"severity": "Média",
"subcategory": "Gestão",
"text": "Definir uma estratégia para o provisionamento de agentes",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"description": "Use o Microsoft Update para garantir que o agente do computador conectado esteja sempre atualizado",
"guid": "c78e1d76-6673-457c-9496-74c5ed85b859",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/manage-agent#upgrade-the-agent",
"severity": "Alto",
"subcategory": "Gestão",
"text": "Definir uma estratégia para atualizações de agentes",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"description": "A recomendação é usar o Azure Policy ou outra ferramenta de automação como o Azure DevOps – o importante é evitar o descompasso de configuração.",
"guid": "c7733be2-a1a2-47b7-95a9-1be1f388ff39",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/manage-vm-extensions",
"severity": "Média",
"subcategory": "Gestão",
"text": "Definir uma estratégia para instalação de extensão",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"description": "Use atualizações automáticas quando disponíveis e defina uma estratégia de atualização para todas as extensões que não oferecem suporte a atualizações automáticas.",
"graph": "resources | where type =~ 'microsoft.hybridcompute/machines/extensions'| extend compliant = (properties.enableAutomaticUpgrade == 'true') | distinct id, compliant",
"guid": "4c2bd463-cbbb-4c86-a195-abb91a4ed90d",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/manage-automatic-vm-extension-upgrade?tabs=azure-portal",
"severity": "Alto",
"subcategory": "Gestão",
"text": "Definir uma estratégia para atualizações de extensão",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"description": "Configuração de Máquina do Azure para ajudar a implementar as melhores práticas da Microsoft para gerenciamento de servidores no Azure",
"guid": "7a927c39-74d1-4102-aac6-aae01e6a84de",
"link": "https://learn.microsoft.com/azure/governance/machine-configuration/overview",
"severity": "Média",
"subcategory": "Gestão",
"text": "Considere usar a Configuração de Máquina do Azure para controlar as configurações e evitar descompassos de configuração em servidores",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"guid": "37b6b780-cbaf-4e6c-9658-9d457a927c39",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/plan-at-scale-deployment#phase-3-manage-and-operate",
"severity": "Alto",
"subcategory": "Monitorização",
"text": "Monitorar agentes que não respondem",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"graph": "resources | where type =~ 'microsoft.hybridcompute/machines' | project id, arcMachineName = name | join kind=leftouter (resources | where type == 'microsoft.hybridcompute/machines/extensions' | where name contains 'azuremonitor' | extend baseIdParts = split(id, '/extensions/') | extend extensionMachineId = tostring(baseIdParts[0]) | project extensionMachineId, extensionId = id) on $left.id == $right.extensionMachineId | extend compliant = isnotempty(extensionMachineId) | project id, compliant",
"guid": "74d1102c-ac6a-4ae0-8e6a-84de5df47d2d",
"link": "https://learn.microsoft.com/azure/azure-monitor/agents/log-analytics-agent#data-collected",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Criar uma estratégia de monitoramento para enviar métricas e logs para um workspace do Log Analytics",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"guid": "92881b1c-d5d1-4e54-a296-59e3958fd782",
"link": "https://learn.microsoft.com/azure/service-health/resource-health-alert-monitor-guide",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Usar notificação em Logs de atividades para receber notificação sobre alterações inesperadas nos recursos",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"guid": "89c93555-6d02-4bfe-9564-b0d834a34872",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/learn/tutorial-enable-vm-insights",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Usar o Azure Monitor para monitoramento operacional e de conformidade",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"guid": "5df47d2d-9288-41b1-ad5d-1e54a29659e3",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/plan-at-scale-deployment#phase-3-manage-and-operate",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Criar um alerta para identificar servidores habilitados para Azure Arc que não estão usando a versão mais recente do agente de computador conectado do Azure",
"waf": "Operações"
},
{
"category": "Gestão e Monitoramento",
"description": "Use o Azure Update Manager para gerenciar e agendar atualizações em escala em seus servidores habilitados para Azure Arc",
"graph": "resources | where type =~ 'microsoft.hybridcompute/machines' | project id = tolower(id), arcMachineName = name | join kind=leftouter (maintenanceresources | extend baseIdParts = split(tolower(id), '/providers/microsoft.maintenance/') | extend maintenanceMachineId = tostring(baseIdParts[0]) | project maintenanceMachineId, maintenanceId = id) on $left.id == $right.maintenanceMachineId | extend compliant = iif(maintenanceMachineId == '', 'No', 'Yes') | project id, compliant",
"guid": "ae2cc84c-37b6-4b78-8cba-fe6c46589d45",
"link": "https://learn.microsoft.com/azure/update-manager/scheduled-patching?tabs=schedule-updates-single-machine%2Cschedule-updates-scale-overview%2Cwindows-maintenance",
"severity": "Baixo",
"subcategory": "Segurança",
"text": "Usar servidores habilitados para Azure Arc para controlar implantações de atualizações de software em servidores",
"waf": "Operações"
},
{
"category": "Rede",
"description": "Por padrão, o Agente de Computador Conectado se comunicará com os serviços do Azure por meio de conectividade pública com a Internet usando HTTPS (porta TCP 443)",
"guid": "f6e043d2-aa35-4927-88e6-e2050725769e",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/network-requirements?tabs=azure-cloud#details",
"severity": "Alto",
"subcategory": "Rede",
"text": "Definir um método de conectividade do servidor para o Azure",
"waf": "Operações"
},
{
"category": "Rede",
"description": "O Connected Machine Agent pode ser configurado para usar um servidor proxy, é recomendável definir o endereço do servidor proxy usando o comando 'azcmagent config set proxy.url' no sistema local.",
"guid": "46691e88-35ac-4932-823e-13800523081a",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/manage-agent#update-or-remove-proxy-settings",
"severity": "Média",
"subcategory": "Rede",
"text": "Um servidor proxy é necessário para comunicação pela Internet pública",
"waf": "Operações"
},
{
"category": "Rede",
"description": "O Agente de Máquina Conectada pode usar um Link Privado para comunicação com os Serviços do Azure por meio de uma conexão VPN ou ExpressRoute existente",
"guid": "94174158-33ee-47ad-9c6d-3733165c7acb",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/private-link-security",
"severity": "Média",
"subcategory": "Rede",
"text": "É necessária uma conexão privada (não pública)?",
"waf": "Operações"
},
{
"category": "Rede",
"description": "A configuração do firewall pode ser necessária para que o agente se comunique com o Azure, use o link para ver ServiceTags e/ou URLs necessárias",
"guid": "e44bbe60-9d79-4f2e-a777-8424c516775c",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/network-requirements?tabs=azure-cloud#service-tags",
"severity": "Alto",
"subcategory": "Rede",
"text": "As configurações de firewall serão necessárias para garantir a comunicação com os Serviços do Azure?",
"waf": "Segurança"
},
{
"category": "Rede",
"description": "Use a ferramenta de automação disponível para o sistema em questão para atualizar regularmente os pontos de extremidade do Azure",
"guid": "6fa95b96-ad88-4408-b372-734b876ba28f",
"link": "https://www.microsoft.com/download/details.aspx?id=56519",
"severity": "Baixo",
"subcategory": "Rede",
"text": "As regras de firewall ou proxy podem ser atualizadas automaticamente se as tags de serviço ou endereços IP forem alterados",
"waf": "Segurança"
},
{
"category": "Rede",
"description": "Configurar servidores para usar o Transport Layer Security (TLS) versão 1.2",
"guid": "21459013-65d3-48e5-9f9c-cbd868266abc",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/network-requirements?tabs=azure-cloud#transport-layer-security-12-protocol",
"severity": "Alto",
"subcategory": "Rede",
"text": "Sempre use a comunicação segura para o Azure sempre que possível",
"waf": "Segurança"
},
{
"category": "Rede",
"description": "Todas as extensões (como análise de log etc.) têm requisitos de rede separados, certifique-se de incluir todos no design da rede.",
"guid": "a264f9a1-9bf3-49d9-9d44-c7c8919ca1f6",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/scenarios/hybrid/arc-enabled-servers/eslz-arc-servers-connectivity#define-extensions-connectivity-method",
"severity": "Baixo",
"subcategory": "Rede",
"text": "Incluir comunicação para extensões de servidores habilitados para Azure Arc no design (firewall/proxy/link privado)",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "ac6aae01-e6a8-44de-9df4-7d2d92881b1c",
"link": "https://learn.microsoft.com/azure/governance/policy/",
"severity": "Média",
"subcategory": "Gestão",
"text": "Usar o Azure Policy para implementar um modelo de governança para servidores conectados híbridos",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "5c2a3649-4b69-4bad-98aa-d53cc78e1d76",
"link": "https://learn.microsoft.com/azure/governance/machine-configuration/overview",
"severity": "Média",
"subcategory": "Gestão",
"text": "Considere o uso de configurações de máquina para configurações de sistema operacional convidado",
"waf": "Operações"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "667357c4-4967-44c5-bd85-b859c7733be2",
"link": "https://learn.microsoft.com/azure/governance/machine-configuration/machine-configuration-create",
"severity": "Média",
"subcategory": "Gestão",
"text": "Avaliar a necessidade de políticas personalizadas de Configuração de Convidado",
"waf": "Operações"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "49674c5e-d85b-4859-a773-3be2a1a27b77",
"link": "https://learn.microsoft.com/azure/automation/change-tracking/overview",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Considere o uso do controle de alterações para controlar as alterações feitas nos servidores",
"waf": "Operações"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "d5d1e54a-2965-49e3-a58f-d78289c93555",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/data-residency",
"severity": "Média",
"subcategory": "Requisitos",
"text": "Certifique-se de usar uma região do Azure para armazenar os metadados aprovados pela organização",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "195abb91-a4ed-490d-ae2c-c84c37b6b780",
"link": "https://learn.microsoft.com/azure/key-vault/general/basic-concepts",
"severity": "Média",
"subcategory": "Segredos",
"text": "Usar o Azure Key Vault para gerenciamento de certificados em servidores",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"description": "Considere usar segredos de cliente da entidade de serviço do Azure AD de curta duração.",
"guid": "6d02bfe4-564b-40d8-94a3-48726ee79d6b",
"link": "https://learn.microsoft.com/azure/active-directory/develop/howto-create-service-principal-portal#option-2-create-a-new-application-secret",
"severity": "Alto",
"subcategory": "Segredos",
"text": "Qual é o tempo de vida aceitável do segredo usado pelos SP's",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"description": "Uma chave privada é salva no disco, certifique-se de que ela esteja protegida usando criptografia de disco",
"guid": "a1a27b77-5a91-4be1-b388-ff394c2bd463",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/security-overview#using-disk-encryption",
"severity": "Média",
"subcategory": "Segredos",
"text": "Proteger a chave pública para servidores habilitados para Azure Arc",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"description": "O administrador local é necessário para instalar o Agente de Máquina Conectada em sistemas Windows e Linux",
"guid": "29659e39-58fd-4782-a9c9-35556d02bfe4",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/onboard-portal#install-manually",
"severity": "Alto",
"subcategory": "Segurança",
"text": "Verifique se há acesso de administrador local para executar a instalação do agente",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"description": "Os membros do grupo de administradores locais no Windows e os usuários com privilégios de root no Linux têm permissões para gerenciar o agente por meio da linha de comando.",
"guid": "564b0d83-4a34-4872-9ee7-9d6b5c2a3649",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/security-overview#agent-security-and-permissions",
"severity": "Média",
"subcategory": "Segurança",
"text": "Limitar a quantidade de usuários com direitos de administrador local aos servidores",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "4b69bad3-8aad-453c-a78e-1d76667357c4",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/managed-identity-authentication",
"severity": "Média",
"subcategory": "Segurança",
"text": "Considere usar e restringir o acesso a identidades gerenciadas para aplicativos.",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"description": "Usar o Defender para Ponto de Extremidade ou outra solução AV e EDR para proteger pontos de extremidade",
"guid": "5a91be1f-388f-4f39-9c2b-d463cbbbc868",
"link": "https://learn.microsoft.com/azure/security-center/security-center-get-started",
"severity": "Média",
"subcategory": "Segurança",
"text": "Habilitar o Defender para Servidores para todos os servidores para proteger cargas de trabalho híbridas contra ameaças",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "cbafe6c4-6589-4d45-9a92-7c3974d1102c",
"severity": "Média",
"subcategory": "Segurança",
"text": "Defina controles para detectar configurações incorretas de segurança e rastrear a conformidade",
"waf": "Segurança"
},
{
"category": "Segurança, Governança e Conformidade",
"guid": "cbbbc868-195a-4bb9-8a4e-d90dae2cc84c",
"link": "https://learn.microsoft.com/azure/azure-arc/servers/security-overview#extension-allowlists-and-blocklists",
"severity": "Média",
"subcategory": "Segurança",
"text": "Usar listas de permissões ou bloqueios para controlar quais extensões podem ser instaladas nos servidores habilitados para Azure Arc",
"waf": "Segurança"
}
],
"metadata": {
"name": "Azure Arc Review",
"state": "Preview",
"timestamp": "October 23, 2024"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"status": [
{
"description": "Esta verificação ainda não foi analisada",
"name": "Não verificado"
},
{
"description": "Há um item de ação associado a essa verificação",
"name": "Abrir"
},
{
"description": "Essa verificação foi verificada e não há mais itens de ação associados a ela",
"name": "Cumprido"
},
{
"description": "Recomendação compreendida, mas não necessária pelos requisitos atuais",
"name": "Não é necessário"
},
{
"description": "Não aplicável para o projeto atual",
"name": "N/A"
}
],
"waf": [
{
"name": "Fiabilidade"
},
{
"name": "Segurança"
},
{
"name": "Custar"
},
{
"name": "Operações"
},
{
"name": "Desempenho"
}
]
}