forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathasb_security_checklist.pt.json
125 lines (125 loc) · 8.55 KB
/
asb_security_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
{
"categories": [
{
"name": "Segurança"
}
],
"items": [
{
"category": "Segurança",
"description": "O Barramento de Serviço Premium do Azure fornece criptografia de dados em repouso. Se você usar sua própria chave, os dados ainda serão criptografados usando a chave gerenciada pela Microsoft, mas, além disso, a chave gerenciada pela Microsoft será criptografada usando a chave gerenciada pelo cliente. ",
"guid": "87af4a79-1f89-439b-ba47-768e14c11567",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/configure-customer-managed-key",
"severity": "Baixo",
"subcategory": "Proteção de Dados",
"text": "Usar a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário",
"training": "https://learn.microsoft.com/learn/modules/plan-implement-administer-conditional-access/"
},
{
"category": "Segurança",
"description": "A comunicação entre um aplicativo cliente e um namespace do Barramento de Serviço do Azure é criptografada usando TLS (Transport Layer Security). Os namespaces do Barramento de Serviço do Azure permitem que os clientes enviem e recebam dados com o TLS 1.0 e superior. Para impor medidas de segurança mais rigorosas, você pode configurar o namespace do Service Bus para exigir que os clientes enviem e recebam dados com uma versão mais recente do TLS.",
"guid": "5c1ea55b-46a9-448f-b8ae-7d7e4b475b6c",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-enforce-minimum-version",
"severity": "Média",
"subcategory": "Proteção de Dados",
"text": "Impor uma versão mínima necessária do Transport Layer Security (TLS) para solicitações ",
"training": "https://learn.microsoft.com/learn/modules/secure-aad-users-with-mfa/"
},
{
"category": "Segurança",
"description": "Quando você cria um namespace do Barramento de Serviço, uma regra SAS chamada RootManageSharedAccessKey é criada automaticamente para o namespace. Essa política tem permissões de Gerenciar para todo o namespace. É recomendável que você trate essa regra como uma conta raiz administrativa e não a use em seu aplicativo. Recomenda-se o uso do AAD como um provedor de autenticação com RBAC. ",
"guid": "8bcbf59b-ce65-4de8-a03f-97879468d66a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-sas#shared-access-authorization-policies",
"severity": "Média",
"subcategory": "Gerenciamento de Identidade e Acesso",
"text": "Evite usar a conta root quando não for necessário",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/"
},
{
"category": "Segurança",
"description": "Um aplicativo cliente do Barramento de Serviço em execução dentro de um aplicativo do Serviço de Aplicativo do Azure ou em uma máquina virtual com entidades gerenciadas habilitadas para suporte a recursos do Azure não precisa manipular regras e chaves SAS ou quaisquer outros tokens de acesso. O aplicativo cliente só precisa do endereço do ponto de extremidade do namespace do Service Bus Messaging. ",
"guid": "786d60f9-6c96-4ad8-a55d-04c2b39c986b",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-managed-service-identity",
"severity": "Média",
"subcategory": "Gerenciamento de Identidade e Acesso",
"text": "Quando possível, seu aplicativo deve estar usando uma identidade gerenciada para autenticar no Barramento de Serviço do Azure. Caso contrário, considere ter a credencial de armazenamento (SAS, credencial da entidade de serviço) no Cofre da Chave do Azure ou em um serviço equivalente",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "Segurança",
"description": "Ao criar permissões, forneça controle refinado sobre o acesso de um cliente ao Barramento de Serviço do Azure. As permissões no Barramento de Serviço do Azure podem e devem ser definidas para o nível de recurso individual, por exemplo, fila, tópico ou assinatura. ",
"guid": "f615658d-e558-4f93-9249-b831112dbd7e",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/authenticate-application#azure-built-in-roles-for-azure-service-bus",
"severity": "Alto",
"subcategory": "Gerenciamento de Identidade e Acesso",
"text": "Usar RBAC do plano de dados de privilégios mínimos",
"training": "https://learn.microsoft.com/learn/modules/explore-basic-services-identity-types/"
},
{
"category": "Segurança",
"description": "Os logs de recursos do Barramento de Serviço do Azure incluem logs operacionais, rede virtual e logs de filtragem de IP. Os logs de auditoria de tempo de execução capturam informações de diagnóstico agregadas para várias operações de acesso ao plano de dados (como enviar ou receber mensagens) no Service Bus.",
"guid": "af12e7f9-43f6-4304-922d-929c2b1cd622",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/monitor-service-bus-reference",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Habilite o log para investigação de segurança. Usar o Azure Monitor para rastrear logs de recursos e logs de auditoria de tempo de execução (atualmente disponíveis somente na camada premium)",
"training": "https://learn.microsoft.com/learn/paths/manage-identity-and-access/"
},
{
"category": "Segurança",
"description": "O Barramento de Serviço do Azure, por padrão, tem um endereço IP público e pode ser acessado pela Internet. Os pontos de extremidade privados permitem que o tráfego entre sua rede virtual e o Barramento de Serviço do Azure percorra a rede backbone da Microsoft. Além disso, você deve desabilitar pontos de extremidade públicos se eles não forem usados. ",
"guid": "9ae669ca-48e4-4a85-b222-3ece8bb12307",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/private-link-service",
"severity": "Média",
"subcategory": "Rede",
"text": "Considere o uso de pontos de extremidade privados para acessar o Barramento de Serviço do Azure e desabilitar o acesso à rede pública, quando aplicável.",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "Segurança",
"description": "Com o firewall IP, você pode restringir o ponto de extremidade público ainda mais a apenas um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Roteamento entre Domínios Sem Classe). ",
"guid": "ca5f06f1-58e3-4ea3-a92c-2de7e2165c3a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-ip-filtering",
"severity": "Média",
"subcategory": "Rede",
"text": "Considere permitir apenas o acesso ao namespace do Barramento de Serviço do Azure a partir de endereços IP ou intervalos específicos",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/"
}
],
"metadata": {
"name": "Azure Service Bus Review"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"status": [
{
"description": "Esta verificação ainda não foi analisada",
"name": "Não verificado"
},
{
"description": "Há um item de ação associado a essa verificação",
"name": "Abrir"
},
{
"description": "Essa verificação foi verificada e não há mais itens de ação associados a ela",
"name": "Cumprido"
},
{
"description": "Recomendação entendida, mas não necessária pelos requisitos atuais",
"name": "Não é necessário"
},
{
"description": "Não aplicável ao projeto atual",
"name": "N/A"
}
]
}