lz_checklist.pt.json

{
  "severities": [
    {
      "name": "Alto"
    },
    {
      "name": "Média"
    },
    {
      "name": "Baixo"
    }
  ],
  "items": [
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Implementar para contas de acesso de emergência ou de vidro de quebra para evitar o bloqueio de conta em todo o inquilino",
      "guid": "984a859c-773e-47d2-9162-3a765a917e1f",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/modules/azure-ad-privileged-identity-management/",
      "link": "https://docs.microsoft.com/azure/active-directory/roles/security-emergency-access"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Imponha um modelo RBAC para grupos de gerenciamento, assinaturas, grupos de recursos e recursos",
      "guid": "348ef254-c27d-442e-abba-c7571559ab91",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/role-based-access-control/overview"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Impor políticas de acesso condicional ao Azure AD para qualquer usuário com direitos a ambientes Azure",
      "guid": "53e8908a-e28c-484c-93b6-b7808b9fe5c4",
      "severity": "Baixo",
      "training": "https://docs.microsoft.com/learn/modules/plan-implement-administer-conditional-access/",
      "link": "https://docs.microsoft.com/azure/active-directory/conditional-access/overview"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Imponha autenticação multifatorial para qualquer usuário com direitos aos ambientes Azure",
      "guid": "1049d403-a923-4c34-94d0-0018ac6a9e01",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/modules/secure-aad-users-with-mfa/",
      "link": "https://docs.microsoft.com/azure/active-directory/authentication/concept-mfa-howitworks"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Impor responsabilidades centralizadas e delegadas para gerenciar recursos implantados dentro da zona de pouso com base nos requisitos de função e segurança",
      "guid": "e6a83de5-de32-4c19-a248-1607d5d1e4e6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/",
      "link": "https://docs.microsoft.com/azure/role-based-access-control/overview"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Impor o Azure AD Privileged Identity Management (PIM) para estabelecer acesso permanente zero e menos privilégio",
      "guid": "14658d35-58fd-4772-99b8-21112df27ee4",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/azure-ad-privileged-identity-management/",
      "link": "https://docs.microsoft.com/azure/active-directory/privileged-identity-management/pim-configure"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Use apenas o tipo de autenticação Trabalho ou conta escolar para todos os tipos de conta. Evite usar a conta da Microsoft",
      "guid": "12e7f983-f630-4472-8dd6-9c5b5c2622f5",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/modules/explore-basic-services-identity-types/",
      "link": "https://docs.microsoft.com/azure/active-directory/roles/security-planning#identify-microsoft-accounts-in-administrative-roles-that-need-to-be-switched-to-work-or-school-accounts"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Só use grupos para atribuir permissões. Adicione grupos no local ao grupo somente Azure-AD se um sistema de gerenciamento de grupo já estiver em vigor.",
      "guid": "4b69bad3-3rd-45e8-a68e-1d76667313b4",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/manage-identity-and-access/",
      "link": "https://docs.microsoft.com/azure/active-directory/fundamentals/active-directory-groups-create-azure-portal"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Considere usar funções personalizadas do Azure para as seguintes funções-chave: proprietário da plataforma Azure, gerenciamento de rede, operações de segurança, proprietário de assinatura, proprietário de aplicativos",
      "guid": "f5664b5e-984a-4859-a773-e7d261623a76",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/create-custom-azure-roles-with-rbac/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access#prerequisites-for-a-landing-zone---design-recommendations"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Se houver quaisquer requisitos de soberania de dados, as Políticas Azure podem ser implantadas para aplicá-las",
      "guid": "5a917e1f-348e-4f25-9c27-d42e8bbac757",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-your-cloud-data/",
      "link": "https://azure.microsoft.com/resources/achieving-compliant-data-residency-and-security-with-azure/"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Se o Azure Active Directory Domains Services (AADDS) estiver em uso, implante o AADDS dentro da região primária, porque esse serviço só pode ser projetado em uma assinatura",
      "guid": "1559ab91-53e8-4908-ae28-c84c33b6b780",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/azure-active-directory/",
      "link": "https://docs.microsoft.com/azure/active-directory-domain-services/overview"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Se o AADDS estiver em uso, avalie a compatibilidade de todas as cargas de trabalho",
      "guid": "8b9fe5c4-1049-4d40-9a92-3c3474d0018",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/implement-hybrid-identity-windows-server/",
      "link": "https://docs.microsoft.com/azure/active-directory-domain-services/overview"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Se o AD no servidor Windows estiver em uso, todos os recursos necessários podem acessar o controlador de domínio correto?",
      "guid": "ac6a9e01-e6a8-43de-9de3-2c1992481607",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-windows-server-iaas-virtual-machine-identity/",
      "link": "https://docs.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Considere usar o Azure AD Application Proxy como VPN ou substituição reversa de proxy para dar aos usuários remotos acesso seguro e autenticado a aplicativos internos (hospedados na nuvem ou no local).",
      "guid": "d5d1e4e6-1465-48d3-958f-d77249b82111",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
      "link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy"
    },
    {
      "category": "Identidade e Acesso",
      "subcategory": "Identidade",
      "text": "Evite usar contas sincronizadas no local para atribuições de papel do Azure AD.",
      "guid": "35037e68-9349-4c15-b371-228514f4cdff",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-identity-security-strategy/",
      "link": "https://docs.microsoft.com/azure/active-directory/roles/best-practices"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Impor hierarquia de grupo de gestão razoavelmente plana com não mais do que três a quatro níveis, idealmente",
      "guid": "2df27ee4-12e7-4f98-9f63-04722dd69c5b",
      "severity": "Média",
      "graph": "contêineres de recursos| quando tipo == 'microsoft.resources/subscriptions'| estender ManagementGroup = tostring (tags),mgmtChain = propriedades.managementGroupAncestorsChain| estender compatível =(array_length(mgmtChain) < 4 e array_length(mgmtChain) > 1)",
      "training": "https://docs.microsoft.com/learn/modules/azure-architecture-fundamentals/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Aplicar ou anexar tags de recursos através da Política Azure",
      "guid": "5c2622f5-4b69-4bad-93aa-d5e8c68e1d76",
      "severity": "Média",
      "graph": "| recursos estender compatível = isnotnull (['tags']) | nome do projeto, id, subscriptionId, resourceGroup, tags, compatível",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/decision-guides/resource-tagging/?toc=/azure/azure-resource-manager/management/toc.json"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha um grupo de gerenciamento de caixas de areia para permitir que os usuários experimentem imediatamente com o Azure",
      "guid": "667313b4-f566-44b5-b984-a859c773e7d2",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha um grupo de gerenciamento de plataformas sob o grupo de gerenciamento raiz para apoiar a política de plataforma comum e a atribuição de papel do Azure",
      "guid": "61623a76-5a91-47e1-b348-ef254c27d42e",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha uma assinatura de conectividade dedicada no grupo de gerenciamento da Plataforma para hospedar um hub Azure Virtual WAN, DNS (Domain Name System, sistema de nomes de domínio privado), circuito ExpressRoute e outros recursos de rede.",
      "guid": "8bbac757-1559-4ab9-853e-8908ae28c84c",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Não impor assinaturas são colocadas sob o grupo de gerenciamento raiz",
      "guid": "33b6b780-8b9f-4e5c-9104-9d403a923c34",
      "severity": "Média",
      "graph": "contêineres de recursos| quando tipo == 'microsoft.resources/subscriptions'| estender ManagementGroup = tostring (tags),mgmtChain = propriedades.managementGroupAncestorsChain| estender compatível = (array_length(mgmtChain) > 1)",
      "link": "https://docs.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---default-management-group"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha que apenas usuários privilegiados possam operar grupos de gerenciamento no inquilino, permitindo a autorização do Azure RBAC nas configurações de hierarquia do grupo de gerenciamento",
      "guid": "74d00018-ac6a-49e0-8e6a-83de5de32c19",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---require-authorization"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha grupos de gerenciamento sob o grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho, com base em suas necessidades de segurança, conformidade, conectividade e recursos.",
      "guid": "92481607-d5d1-4e4e-9146-58d3558fd772",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Impor um processo para conscientizar os proprietários de recursos sobre suas funções e responsabilidades, revisão de acesso, revisão orçamentária, conformidade com a política e correção quando necessário.",
      "guid": "49b82111-2df2-47ee-912e-7f983f630472",
      "severity": "Alto",
      "link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Certifique-se de que todos os proprietários de assinaturas e a equipe do núcleo de TI estejam cientes das limitações de suporte de assinatura como parte das sessões de design de carga de trabalho.",
      "guid": "2dd69c5b-5c26-422f-94b6-9bad33aad5e8",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Use instâncias reservadas quando apropriado para otimizar custos e garantir a capacidade disponível nas regiões-alvo. Aplique o uso de SKUs VM de instância reservada adquirida através da Política Azure.",
      "guid": "c68e1d76-6673-413b-9f56-64b5e984a859",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/paths/improve-reliability-modern-operations/",
      "link": "https://docs.microsoft.com/azure/cost-management-billing/reservations/save-compute-costs-reservations"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Imponha um painel, pasta de trabalho ou processo manual para monitorar os níveis de capacidade usados",
      "guid": "c773e7d2-6162-43a7-95a9-17e1f348ef25",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/paths/monitor-usage-performance-availability-resources-azure-monitor/",
      "link": "https://docs.microsoft.com/azure/architecture/framework/scalability/design-capacity"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Certifique-se de que os serviços e recursos necessários estejam disponíveis nas regiões de implantação escolhidas",
      "guid": "4c27d42e-8bba-4c75-9155-9ab9153e8908",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/azure-architecture-fundamentals/",
      "link": "https://azure.microsoft.com/global-infrastructure/services/"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Impor um processo de gestão de custos",
      "guid": "ae28c84c-33b6-4b78-88b9-fe5c41049d40",
      "severity": "Alto",
      "training": "https://docs.microsoft.com/learn/paths/control-spending-manage-bills/",
      "link": "https://docs.microsoft.com/azure/cost-management-billing/cost-management-billing-overview"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Se aD no Windows Server, estabeleça uma assinatura de identidade dedicada no grupo de gerenciamento da Plataforma para hospedar controladores de domínio do Windows Server Active Directory",
      "guid": "3a923c34-74d0-4001-aac6-a9e01e6a83de",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
      "link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
    },
    {
      "category": "Grupo de Gestão e Assinaturas",
      "subcategory": "Assinaturas",
      "text": "Garantir que as etiquetas sejam usadas para faturamento e gerenciamento de custos",
      "guid": "5de32c19-9248-4160-9d5d-1e4e614658d3",
      "severity": "Média",
      "graph": "| recursos estender compatível = isnotnull (['tags']) | nome do projeto, id, subscriptionId, resourceGroup, tags, compatível",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/track-costs"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Certifique-se de não haver espaços de endereço IP sobrepostos em todas as regiões do Azure e locais no local",
      "guid": "558fd772-49b8-4211-82df-27ee412e7f98",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Certifique-se de usar endereços IP da alocação de endereços para internets privadas (RFC 1918).",
      "guid": "3f630472-2dd6-49c5-a5c2-622f54b69bad",
      "severity": "Média",
      "graph": "| recursos onde tipo == 'microsoft.network/virtualnetworks' | estender o addressSpace = todynamic (properties.addressSpace) | estender endereçoPrefix = todynamic (propriedades.addressSpace.addressPrefixes) | endereço mvexpandO espaço | endereço mvexpandPrefix | nome do projeto, id, localização, resourceGroup, subscriptionId, cidr = endereçoPrefix | estender compatível = (partidas cidr regex @'^(10(\\\\.( 25[0-5]|2[0-4][0-9]|1[0-9]{1,2}| [0-9] {1,2})) {3}| ((172\\\\. (1[6-9]|2[0-9]|3[01]))| 192\\\\.168)(\\\\.( 25[0-5]|2[0-4][0-9]|1[0-9]{1,2}| [0-9] {1,2})) {2})')  | nome do projeto, id, assinaturaId, resourceGroup, compatível, cidr",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Certifique-se de que o espaço de endereço IP não seja desperdiçado, não crie redes virtuais desnecessariamente grandes (por exemplo /16) ",
      "guid": "33aad5e8-c68e-41d7-9667-313b4f5664b5",
      "severity": "Média",
      "graph": "| recursos onde tipo == 'microsoft.network/virtualnetworks' | estender o addressSpace = todynamic (properties.addressSpace) | estender endereçoPrefix = todynamic (propriedades.addressSpace.addressPrefixes) | endereço mvexpandO espaço | endereço mvexpandPrefix | estender endereçoMask = split(endereçoPrefix,'/')[1] | estender compatível = endereçoMask >= 16 | nome do projeto, id, assinaturaId, resourceGroup, addressPrefix, compatível",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Certifique-se de que não há faixa de endereço IP público (bloco CIDR) para VNETs, especialmente se não for propriedade de sua organização",
      "guid": "e984a859-c773-4e7d-8616-23a765a917e1",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Evite usar faixas de endereço IP sobrepostas para locais de produção e DR.",
      "guid": "f348ef25-4c27-4d42-b8bb-ac7571559ab9",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
      "link": "https://docs.microsoft.com/azure/site-recovery/concepts-on-premises-to-azure-networking#retain-ip-addresses"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Para ambientes onde a resolução de nomes no Azure é tudo o que é necessário, use O Azure Private DNS para resolução. Crie uma zona delegada para resolução de nomes (como 'azure.contoso.com').",
      "guid": "153e8908-ae28-4c84-a33b-6b7808b9fe5c",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
      "link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Para ambientes onde a resolução de nomes no Azure e no local é necessária, use a infraestrutura DNS existente (por exemplo, DNS integrado do Active Directory) implantada em pelo menos duas máquinas virtuais (VMs). Configure as configurações de DNS em redes virtuais para usar esses servidores DNS.",
      "guid": "41049d40-3a92-43c3-974d-00018ac6a9e0",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
      "link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Cargas de trabalho especiais que requerem e implantam seu próprio DNS (como o Red Hat OpenShift) devem usar sua solução DNS preferida.",
      "guid": "1e6a83de-5de3-42c1-a924-81607d5d1e4e",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Plano IP",
      "text": "Habilite o registro automático do Azure DNS para gerenciar automaticamente o ciclo de vida dos registros de DNS para as máquinas virtuais implantadas em uma rede virtual.",
      "guid": "614658d3-558f-4d77-849b-821112df27ee",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
      "link": "https://docs.microsoft.com/azure/dns/private-dns-autoregistration"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Considere o VIRTUAL WAN para gerenciamento simplificado de rede do Azure e certifique-se de que seu cenário seja explicitamente descrito na lista de projetos de roteamento VIRTUAL WAN",
      "guid": "412e7f98-3f63-4047-82dd-69c5b5c2622f",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/introduction-azure-virtual-wan/",
      "link": "https://docs.microsoft.com/azure/virtual-wan/scenario-any-to-any"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Use um hub virtual wan por região do Azure para conectar várias zonas de pouso em todas as regiões do Azure através de um WAN virtual global comum.",
      "guid": "54b69bad-33aa-4d5e-ac68-e1d76667313b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Use os recursos de roteamento do Hub Virtual para aumentar ainda mais o tráfego entre VNets e filiais.",
      "guid": "4f5664b5-e984-4a85-ac77-3e7d261623a7",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Conecte hubs VIRTUAIS WAN a datacenters no local usando o ExpressRoute",
      "guid": "65a917e1-f348-4ef2-94c2-7d42e8bbac75",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/configure-expressroute-virtual-wan/",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Conecte filiais e locais remotos ao hub virtual WAN mais próximo via VPN local-a-site ou habilite a conectividade de filiais ao VIRTUAL WAN através de uma solução de parceiro SD-WAN.",
      "guid": "71559ab9-153e-4890-aae2-8c84c33b6b78",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-hybrid-networking/",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Conecte os usuários ao hub WAN virtual através de uma VPN ponto a ponto.",
      "guid": "08b9fe5c-4104-49d4-83a9-23c3474d0001",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-hybrid-networking/",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Siga o princípio 'tráfego no Azure permanece no Azure' para que a comunicação entre os recursos no Azure ocorra através da rede backbone da Microsoft",
      "guid": "8ac6a9e0-1e6a-483d-b5de-32c199248160",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Para proteger e filtrar de tráfego na Internet de saída, implante o Azure Firewall",
      "guid": "7d5d1e4e-6146-458d-9558-fd77249b8211",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Ao implantar tecnologias de rede de parceiros e NVAs no VWAN, verifique a configuração com a orientação do fornecedor parceiro para garantir que não haja configurações conflitantes",
      "guid": "12df27ee-412e-47f9-a3f6-304722dd69c5",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Certifique-se de que os recursos do Azure Virtual WAN e do Firewall Azure sejam criados na assinatura de conectividade.",
      "guid": "b5c2622f-54b6-49ba-b33a-ad5e8c68e1d7",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Certifique-se de que a arquitetura de rede está dentro dos limites do Azure Virtual WAN.",
      "guid": "6667313b-4f56-464b-9e98-4a859c773e7d",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Virtual WAN",
      "text": "Use o Azure Monitor Insights for Virtual WAN para monitorar a topologia completa da WAN virtual, status e métricas-chave.",
      "guid": "261623a7-65a9-417e-8f34-8ef254c27d42",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/azure-monitor-insights"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Considere um design de rede baseado na topologia tradicional de rede hub-and-spoke para os seguintes cenários: uma arquitetura de rede implantada dentro de uma única região do Azure; uma arquitetura de rede abrange várias regiões do Azure sem necessidade de conectividade transitiva entre redes virtuais para zonas de pouso em todas as regiões; uma arquitetura de rede que abrange várias regiões do Azure com pares globais de VNet usados para conectar redes virtuais em regiões do Azure; uma arquitetura de rede sem necessidade de conectividade transitiva entre conexões VPN e ExpressRoute; o principal método de conectividade híbrida em vigor é o ExpressRoute, e o número de conexões VPN é inferior a 30 por gateway VPN; há uma dependência de NVAs centralizados e roteamento granular.",
      "guid": "e8bbac75-7155-49ab-a153-e8908ae28c84",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/enterprise-scale/network-topology-and-connectivity"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Garanta que os serviços compartilhados, incluindo gateways ExpressRoute, gateways VPN e Firewall Azure ou NVAs parceiros na rede virtual central. Se necessário, também implante controladores de domínio active Directory e servidores DNS.",
      "guid": "7dd61623-a364-4a90-9eca-e48ebd54cd7d",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/architecture/reference-architectures/hybrid-networking/expressroute"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Ao implantar tecnologias de rede de parceiros ou NVAs, siga a orientação do fornecedor parceiro",
      "guid": "e2e8abac-3571-4559-ab91-53e89f89dc7b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/architecture/reference-architectures/dmz/nva-ha"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Não implante serviços L7 de entrada, como o Azure Application Gateway, como um serviço compartilhado na rede virtual central. Em vez disso, implante-os junto com o aplicativo em suas respectivas zonas de pouso.",
      "guid": "44ce3b1a-2808-4b9e-a1bf-1038df03a822",
      "severity": "Média",
      "link": "https://azure.microsoft.com/solutions/network-appliances/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Se você precisar de trânsito entre gateways ExpressRoute e VPN, use o Azure Route Server.",
      "guid": "ce463dbb-bc8a-4c2a-aebc-92a43da1dae2",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-howto-coexist-resource-manager#to-enable-transit-routing-between-expressroute-and-azure-vpn"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Para arquiteturas de rede com várias topologias de hub-and-spoke em todas as regiões do Azure, use o Global Virtual Network Peering para conectar redes virtuais da zona de pouso quando um pequeno número de zonas de pouso precisa se comunicar entre regiões. ",
      "guid": "cc881471-607c-41cc-a0e6-14658dd558f9",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/azure-administrator-manage-virtual-networks/",
      "link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-faq#can-i-create-a-peering-connection-to-a-vnet-in-a-different-region"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Quando você implantar uma arquitetura de rede hub-and-spoke em duas regiões do Azure e a conectividade de trânsito entre todas as zonas de pouso em todas as regiões é necessária, use o ExpressRoute com circuitos duplos para fornecer conectividade de trânsito para redes virtuais da zona de pouso em todas as regiões do Azure. ",
      "guid": "37239b82-1112-4dbd-9eaf-12e6f943e53f",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-faqs"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Use o Azure Monitor for Networks para monitorar o estado de ponta a ponta das redes no Azure.",
      "guid": "4722d929-c1b1-4cd6-81f5-4b29bade39ad",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
      "link": "https://docs.microsoft.com/azure/azure-monitor/insights/network-insights-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Hub e falou",
      "text": "Ao conectar redes virtuais spoke para a rede virtual central hub, considere os limites de peering da VNet e o número máximo de prefixos que podem ser anunciados via ExpressRoute",
      "guid": "0e7c28ec-9366-4572-83b0-f4664b1d944a",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#azure-resource-manager-virtual-networking-limits"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Certifique-se de que você investigou a possibilidade de usar o ExpressRoute como conexão primária com o Azure.",
      "guid": "359c373e-7dd6-4162-9a36-4a907ecae48e",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/architecture/reference-architectures/hybrid-networking/hub-spoke?tabs=cli"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Quando você usar vários circuitos ExpressRoute ou vários locais no prem, certifique-se de otimizar o roteamento com atributos BGP, se determinados caminhos forem preferidos.",
      "guid": "f29812b2-363c-4efe-879b-599de0d5973c",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Certifique-se de que você está usando o SKU certo para os gateways ExpressRoute/VPN com base nos requisitos de largura de banda e desempenho.",
      "guid": "d4cd21b0-8813-47f5-b6c4-cfd3e504547c",
      "severity": "Média",
      "graph": "recursos| onde tipo == 'microsoft.network/virtualnetworkgateways'| onde propriedades.gatewayType =~ 'vpn' ou propriedades.gatewayType == 'ExpressRoute'| estender SKUName = properties.sku.name, SKUTier = propriedades.sku.tier, Type = properties.gatewayType| estender compatível = SKUTier !in ('Básico', 'Padrão')| nome do projeto, id, subscriptionId, resourceGroup, compatível",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Implante um gateway ExpressRoute redundante de zona nas regiões do Azure suportadas.",
      "guid": "2447ec66-138a-4720-8f1c-e16ed301d6e8",
      "severity": "Média",
      "graph": "recursos| onde tipo == 'microsoft.network/virtualnetworkgateways'| onde propriedades.gatewayType =~ 'vpn' ou propriedades.gatewayType == 'ExpressRoute'| estender SKUName = properties.sku.name, SKUTier = propriedades.sku.tier, Type = properties.gatewayType| estender compatível = SKUTier contém 'AZ'| nome do projeto, id, assinaturaId, resourceGroup, Type, compatível",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-about-virtual-network-gateways"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Para cenários que requerem largura de banda superior a 10 Gbps ou portas dedicadas de 10/100 Gbps, use o ExpressRoute Direct.",
      "guid": "72e52e36-11cc-458b-9a4b-1511e43a58a9",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/networking/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Quando a baixa latência é necessária ou a transferência de on-premises para o Azure deve ser superior a 10 Gbps, permita que o FastPath contorne o gateway ExpressRoute a partir do caminho de dados.",
      "guid": "c2299c4d-7b57-4d0c-9555-62f2b3e4563a",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Use gateways VPN para conectar ramos ou locais remotos ao Azure. Para maior resiliência, implante gateways redundantes de zona (quando disponível).",
      "guid": "4d873974-8b66-42d6-b15f-512a65498f6d",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Use o ExpressRoute Global Reach para conectar grandes escritórios, sedes regionais ou datacenters conectados ao Azure via ExpressRoute.",
      "guid": "fe237de1-43b1-46c3-8d7a-a9b64704489a",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/networking/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Quando for necessário isolamento de tráfego ou largura de banda dedicada, como separar ambientes de produção e não produção, use diferentes circuitos ExpressRoute. Ele ajudará você a garantir domínios isolados de roteamento e aliviar riscos de vizinhos barulhentos.",
      "guid": "8042d88e-79d1-47b7-9b22-a5a67e7a8ed4",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/architecture/framework/services/networking/expressroute/reliability"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Monitore a disponibilidade e a utilização do ExpressRoute usando métricas incorporadas do Azure Monitor.",
      "guid": "b30e38c3-f298-412b-8363-cefe179b599d",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-monitoring-metrics-alerts"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Use o Monitor de Conexão para monitoramento de conectividade em todo o ambiente.",
      "guid": "5bf68dc9-325e-4873-bf88-f8214ef2e5d2",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/how-to-configure-connection-monitor"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Híbrido",
      "text": "Não use explicitamente circuitos ExpressRoute de um único local de observação. Isso cria um único ponto de falha e torna a organização suscetível a paralisações de localização.",
      "guid": "e0d5973c-d4cd-421b-8881-37f5e6c4cfd3",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/expressroute/designing-for-disaster-recovery-with-expressroute-privatepeering#challenges-of-using-multiple-expressroute-circuits"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Se você precisar de comunicação privada para serviços PaaS, considere as diferentes opções disponíveis.",
      "guid": "e504547c-2447-4ec6-9138-a7200f1ce16e",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-private-access-to-azure-services/",
      "link": "https://docs.microsoft.com/azure/virtual-network/vnet-integration-for-azure-services"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Os serviços Azure PaaS que foram injetados em uma rede virtual ainda realizam operações de plano de gerenciamento usando endereços IP públicos. Certifique-se de que esta comunicação não está quebrada",
      "guid": "d301d6e8-72e5-42e3-911c-c58b5a4b1511",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
      "link": "https://docs.microsoft.com/azure/virtual-network/vnet-integration-for-azure-services"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Use o Private Link, quando disponível, para serviços Azure PaaS compartilhados.",
      "guid": "e43a58a9-c229-49c4-b7b5-7d0c655562f2",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Acesse os serviços Azure PaaS a partir de locais via ExpressRoute peering privado. Esse método evita transitar pela internet pública.",
      "guid": "b3e4563a-4d87-4397-98b6-62d6d15f512a",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Use pontos finais de serviço de rede virtual quando o Private Link não estiver disponível",
      "guid": "65498f6d-fe23-47de-843b-16c31d7aa9b6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Não habilite pontos finais de serviço de rede virtual por padrão em todas as sub-redes.",
      "guid": "4704489a-8042-4d88-b79d-17b73b22a5a6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Não use pontos finais de serviço de rede virtual quando houver preocupações de exfiltração de dados, a menos que você use filtragem de NVA.",
      "guid": "7e7a8ed4-b30e-438c-9f29-812b2363cefe",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Paas",
      "text": "Não implemente túneis forçados para permitir a comunicação dos recursos do Azure para o Azure.",
      "guid": "179b599d-e0d5-4973-ad4c-d21b088137f5",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Use o Firewall Azure para governar o tráfego de saída do Azure para a internet, conexões de entrada não-HTTP/S e filtragem de tráfego Leste/Oeste (se a organização exigir)",
      "guid": "e6c4cfd3-e504-4547-a244-7ec66138a720",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/app-service/networking-features"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Use o Firewall Manager com WAN virtual para implantar e gerenciar firewalls do Azure em hubs VIRTUAIS WAN ou em redes virtuais de hub. O Firewall Manager agora está em disponibilidade geral tanto para redes virtuais de WAN quanto para redes virtuais regulares.",
      "guid": "0f1ce16e-d301-4d6e-a72e-52e3611cc58b",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/firewall/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Crie uma política global do Azure Firewall para governar a postura de segurança em todo o ambiente de rede global e atribua-as a todas as instâncias do Azure Firewall. Permitir que políticas granulares atendam aos requisitos de regiões específicas, delegando políticas incrementais de firewall para equipes de segurança locais através do controle de acesso baseado em papéis do Azure.",
      "guid": "5a4b1511-e43a-458a-ac22-99c4d7d7b57d0c",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/firewall/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Configure os provedores de segurança SaaS parceiros suportados dentro do Firewall Manager se a organização quiser usar essas soluções para ajudar a proteger conexões de saída.",
      "guid": "655562f2-b3e4-4563-a4d8-739748b662d6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/firewall/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Use o WAF dentro de uma rede virtual de zona de pouso para proteger o tráfego HTTP/S de entrada da internet.",
      "guid": "d15f512a-6549-48f6-bfe2-37de143b16c3",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/firewall/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Use as políticas Azure Front Door e WAF para fornecer proteção global em todas as regiões do Azure para conexões HTTP/S de entrada a uma zona de pouso.",
      "guid": "1d7aa9b6-4704-4489-a804-2d88e79d17b7",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/afds/afds-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Ao usar o Azure Front Door e o Azure Application Gateway para ajudar a proteger aplicativos HTTP/S, use as políticas WAF no Azure Front Door. Bloqueie o Portal de Aplicativos Azure para receber tráfego apenas a partir da Porta da Frente do Azure.",
      "guid": "3b22a5a6-7e7a-48ed-9b30-e38c3f29812b",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Se os NVAs parceiros forem necessários para conexões HTTP/S de entrada, implante-as dentro de uma rede virtual de zona de pouso e, juntamente com os aplicativos que estão protegendo e expondo à internet.",
      "guid": "2363cefe-179b-4599-be0d-5973cd4cd21b",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Internet",
      "text": "Use os planos de proteção padrão de proteção do Azure DDoS para ajudar a proteger todos os pontos finais públicos hospedados nas redes virtuais.",
      "guid": "088137f5-e6c4-4cfd-9e50-4547c2447ec6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-reference-architectures"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Realize a entrega de aplicativos dentro de zonas de pouso para aplicativos voltados para internos (corp) e externos (on-line).",
      "guid": "6138a720-0f1c-4e16-bd30-1d6e872e52e3",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-groups-in-the-azure-landing-zone-accelerator"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Para uma entrega segura de aplicativos HTTP/S, use o Application Gateway v2 e garanta que a proteção e as políticas do WAF estejam ativadas.",
      "guid": "611cc58b-5a4b-4151-8e43-a58a9c2299c4",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Use um NVA parceiro se você não puder usar o Application Gateway v2 para a segurança de aplicativos HTTP/S.",
      "guid": "d7b57d0c-6555-462f-8b3e-4563a4d87397",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/organize-resources?tabs=AzureManagementGroupsAndHierarchy"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Implante o Azure Application Gateway v2 ou nVAs parceiros usados para conexões HTTP/S de entrada dentro da rede virtual da zona de pouso e com os aplicativos que eles estão protegendo.",
      "guid": "48b662d6-d15f-4512-a654-98f6dfe237de",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Use um plano de proteção padrão DDoS para todos os endereços IP públicos em uma zona de pouso.",
      "guid": "143b16c3-1d7a-4a9b-9470-4489a8042d88",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Use o Azure Front Door com as políticas WAF para fornecer e ajudar a proteger aplicativos HTTP/S globais que abrangem regiões do Azure.",
      "guid": "e79d17b7-3b22-4a5a-97e7-a8ed4b30e38c",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Ao usar o Front Door e o Application Gateway para ajudar a proteger os aplicativos HTTP/S, use as políticas WAF na Porta da Frente. Bloqueie o Gateway de aplicativos para receber tráfego apenas na Porta da Frente.",
      "guid": "3f29812b-2363-4cef-b179-b599de0d5973",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Use o Traffic Manager para fornecer aplicativos globais que abrangem protocolos diferentes do HTTP/S.",
      "guid": "cd4cd21b-0881-437f-9e6c-4cfd3e504547",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Se os usuários só precisam de acesso a aplicativos internos, o Azure AD Application Proxy foi considerado como uma alternativa ao Azure Virtual Desktop (AVD)?",
      "guid": "3b4b3e88-a459-4ed5-a22f-644dfbc58204",
      "severity": "Baixo",
      "training": "https://docs.microsoft.com/learn/modules/configure-azure-ad-application-proxy/",
      "link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Delegado criação de sub-rede para o proprietário da zona de pouso. ",
      "guid": "c2447ec6-6138-4a72-80f1-ce16ed301d6e",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-landing-zone-network-segmentation"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Entrega de aplicativos",
      "text": "Para reduzir o número de portas de firewall abertas para conexões recebidas em sua rede, considere usar o Azure AD Application Proxy para dar aos usuários remotos acesso seguro e autenticado a aplicativos internos.",
      "guid": "01ca7cf1-5754-442d-babb-8ba6772e5c30",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
      "link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Use NSGs para ajudar a proteger o tráfego em sub-redes, bem como tráfego leste/oeste em toda a plataforma (tráfego entre zonas de pouso).",
      "guid": "872e52e3-611c-4c58-a5a4-b1511e43a58a",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "A equipe de aplicativos deve usar grupos de segurança de aplicativos nos NSGs de nível sub-rede para ajudar a proteger VMs de vários níveis dentro da zona de pouso.",
      "guid": "9c2299c4-d7b5-47d0-a655-562f2b3e4563",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/organize-resources?tabs=AzureManagementGroupsAndHierarchy"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Use NSGs e grupos de segurança de aplicativos para microsegmentar o tráfego dentro da zona de pouso e evite usar um NVA central para filtrar fluxos de tráfego.",
      "guid": "a4d87397-48b6-462d-9d15-f512a65498f6",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Habilite os registros de fluxo do NSG e alimente-os para o Traffic Analytics para obter insights sobre fluxos de tráfego internos e externos.",
      "guid": "dfe237de-143b-416c-91d7-aa9b64704489",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
      "link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Use NSGs para permitir seletivamente a conectividade entre zonas de pouso.",
      "guid": "a8042d88-e79d-417b-93b2-2a5a67e7a8ed",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Segmentação",
      "text": "Para topologias virtuais de WAN, o tráfego de rotas através de zonas de pouso via Firewall Azure se a organização exigir recursos de filtragem e registro para o tráfego fluindo através de zonas de pouso.",
      "guid": "4b30e38c-3f29-4812-a236-3cefe179b599",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
      "link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Encriptação",
      "text": "Quando estiver usando o ExpressRoute Direct, configure o MACsec para criptografar o tráfego no nível de camada dois entre os roteadores da organização e o MSEE. O diagrama mostra essa criptografia em fluxo.",
      "guid": "de0d5973-cd4c-4d21-a088-137f5e6c4cfd",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Encriptação",
      "text": "Se o tráfego entre as regiões do Azure deve ser criptografado, use o peering global VNet para conectar redes virtuais em todas as regiões.",
      "guid": "3e504547-c244-47ec-9613-8a7200f16",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/firewall/"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Encriptação",
      "text": "Para cenários virtuais de WAN, onde o MACsec não é uma opção (por exemplo, não usar o ExpressRoute Direct), use um gateway Virtual WAN VPN para estabelecer túneis IPsec sobre o peering privado ExpressRoute. ",
      "guid": "ed301d6e-872e-452e-9611-cc58b5a4b151",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
      "link": "https://docs.microsoft.com/azure/expressroute/expressroute-erdirect-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Inspeção",
      "text": "Use pacotes de observador de rede para capturar, apesar da janela de captura limitada.",
      "guid": "1e43a58a-9c22-499c-9d7b-57d0c655562f",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
      "link": "https://docs.microsoft.com/azure/virtual-network/virtual-network-peering-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Inspeção",
      "text": "Avalie se a versão mais recente dos registros de fluxo do NSG fornece o nível de detalhes que você precisa.",
      "guid": "2b3e4563-a4d8-4739-948b-662d6d15f512",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Inspeção",
      "text": "Use soluções de parceiros para cenários que requerem inspeção profunda de pacotes.",
      "guid": "a65498f6-dfe2-437d-b143-b16c31d7aa9b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/network-watcher/network-watcher-monitoring-overview"
    },
    {
      "category": "Topologia e Conectividade de Rede",
      "subcategory": "Inspeção",
      "text": "Não desenvolva uma solução personalizada para espelhar o tráfego. Embora essa abordagem possa ser aceitável para cenários de pequena escala, não a encorajamos em escala devido à complexidade e às questões de suporte que podem surgir.",
      "guid": "64704489-a804-42d8-ae79-d17b73b22a5a",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-traffic-inspection"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use um único monitor logs workspace para gerenciar plataformas centralmente, exceto onde o controle de acesso baseado em papel do Azure (Azure RBAC), requisitos de soberania de dados ou políticas de retenção de dados mandam espaços de trabalho separados.",
      "guid": "67e7a8ed-4b30-4e38-a3f2-9812b2363cef",
      "severity": "Média",
      "training": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "A zona de pouso está documentada?",
      "guid": "e179b599-de0d-4597-9cd4-cd21b088137f",
      "severity": "Média"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Os logs de exportação para o Armazenamento Azure se os requisitos de retenção de log excederem dois anos. Use armazenamento imutável com uma política de gravação-uma-vez, leia-muitas para tornar os dados não apagados e não modificáveis para um intervalo especificado pelo usuário.",
      "guid": "5e6c4cfd-3e50-4454-9c24-47ec66138a72",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-infrastructure-operations/",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use a Política Azure para relatórios de controle de acesso e conformidade. A Política Azure fornece a capacidade de impor configurações em toda a organização para garantir a adesão consistente à política e a rápida detecção de violações. ",
      "guid": "00f1ce16-ed30-41d6-b872-e52e3611cc58",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/architect-infrastructure-operations/",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Monitore a configuração da máquina virtual in-guest (VM) drift usando a Política Azure. Habilitar recursos de auditoria de configuração de hóspedes por meio de políticas ajuda as cargas de trabalho da equipe de aplicativos a consumir imediatamente recursos de recursos com pouco esforço.",
      "guid": "e7d7e484-3276-4d8b-bc05-5bcf619e8a13",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/governance/policy/how-to/guest-configuration-create"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use o Update Management em Automação Azure como um mecanismo de patching de longo prazo para VMs Windows e Linux. ",
      "guid": "f9887952-5d62-4688-9d70-ba6c97be9951",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/azure-administrator-manage-compute-resources/",
      "link": "https://docs.microsoft.com/azure/automation/update-management/overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use o Network Watcher para monitorar proativamente os fluxos de tráfego",
      "guid": "90483845-c986-4cb2-a131-56a12476e49f",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/modules/configure-network-watcher/",
      "link": "https://docs.microsoft.com/azure/network-watcher/network-watcher-monitoring-overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use bloqueios de recursos para evitar a exclusão acidental de serviços compartilhados críticos.",
      "guid": "541acdce-9793-477b-adb3-751ab2ab13ad",
      "severity": "Média",
      "training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
      "link": "https://docs.microsoft.com/azure/azure-resource-manager/management/lock-resources?tabs=json"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use políticas de negação para complementar as atribuições de papel do Azure. A combinação de políticas de negação e atribuições de papel do Azure garante que os guardrails apropriados estejam em vigor para impor quem pode implantar e configurar recursos e quais recursos eles podem implantar e configurar.",
      "guid": "a6e55d7d-8a2a-4db1-87d6-326af625ca44",
      "severity": "Baixo",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Inclua eventos de saúde de serviços e recursos como parte da solução geral de monitoramento da plataforma. Acompanhar a saúde do serviço e dos recursos sob a perspectiva da plataforma é um componente importante da gestão de recursos no Azure.",
      "guid": "e5695f22-23ac-4e8c-a123-08ca5017f154",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/service-health/alerts-activity-log-service-notifications-portal"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Inclua alertas e grupos de ação como parte da plataforma Azure Service Health para garantir que alertas ou problemas possam ser acionados",
      "guid": "d5f345bf-97ab-41a7-819c-6104baa7d48c",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/alerts/action-groups"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Não envie entradas de log bruto de volta para sistemas de monitoramento no local. Em vez disso, adote um princípio de que os dados nascidos no Azure permanecem no Azure. Se for necessária a integração do SIEM no local, envie alertas críticos em vez de logs.",
      "guid": "e3ab3693-829e-47e3-8618-3687a0477a20",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/sentinel/quickstart-onboard"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use um espaço de trabalho centralizado do Azure Monitor Log Analytics para coletar logs e métricas dos recursos de aplicativos IaaS e PaaS e controlar o acesso ao log com o Azure RBAC.",
      "guid": "9945bda4-3334-4f24-a116-34182ba52752",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use logs do Azure Monitor para obter informações e relatórios.",
      "guid": "6944008b-e7d7-4e48-9327-6d8bdc055bcf",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/monitoring-reporting?tabs=AzureMonitor"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Quando necessário, use contas de armazenamento compartilhada dentro da zona de pouso para armazenamento de log de extensão de diagnóstico do Azure.",
      "guid": "619e8a13-f988-4795-85d6-26886d70ba6c",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/agents/diagnostics-extension-overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use alertas do Azure Monitor para a geração de alertas operacionais.",
      "guid": "97be9951-9048-4384-9c98-6cb2913156a1",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/alerts/alerts-overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Empregue cenários de recuperação de desastres de máquinas virtuais do Azure-to-Azure. Isso permite replicar cargas de trabalho em todas as regiões.",
      "guid": "2476e49f-541a-4cdc-b979-377bcdb3751a",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/site-recovery/site-recovery-overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Certifique-se de usar e testar os recursos nativos de recuperação de desastres de serviço PaaS.",
      "guid": "b2ab13ad-a6e5-45d7-b8a2-adb117d6326a",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/architecture/framework/resiliency/backup-and-recovery"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Use recursos de backup nativos do Azure. Verifique se o parceiro/cliente está ciente do Azure Backup e de todos os novos recursos que podem simplificar muito o gerenciamento de backup",
      "guid": "f625ca44-e569-45f2-823a-ce8cb12308ca",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/backup/backup-center-overview"
    },
    {
      "category": "Gestão e Monitoramento",
      "subcategory": "Monitorização",
      "text": "Certifique-se de que os requisitos de monitoramento foram avaliados e que configurações adequadas de coleta e alerta de dados sejam aplicadas",
      "guid": "859c3900-4514-41eb-b010-475d695abd74",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/architecture/best-practices/monitoring"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Use o Azure Key Vault para armazenar seus segredos e credenciais",
      "guid": "5017f154-e3ab-4369-9829-e7e316183687",
      "severity": "Alto",
      "link": "https://docs.microsoft.com/azure/key-vault/general/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Use diferentes cofres de chaves do Azure para diferentes aplicativos e regiões para evitar limites de escala de transações e restringir o acesso a segredos.",
      "guid": "a0477a20-9945-4bda-9333-4f2491163418",
      "severity": "Média",
      "graph": "| de | de Recursos onde digite=='microsoft.resources/subscriptions'| parse id com '/assinaturas/' SubscriptionID| assinatura do projetoId, SubscriptionName = nome| junte-se kind=leftouter (Recursos| onde tipo == 'microsoft.keyvault/vaults'| project id, nome, subscriptionId) na assinaturaId| join kind= leftouter (Resources| onde tipo == 'microsoft.keyvault/vaults'| resumir ResourceCount = contagem () por assinaturaId) na assinaturaId| estender RCount = iff(isnull(ResourceCount), 0, ResourceCount)| Project-away ResourceCount| estender compatível = (RCount <> 1)",
      "link": "https://docs.microsoft.com/azure/key-vault/general/overview-throttling"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Provision Azure Key Vault com as políticas de exclusão e eliminação suaves habilitadas para permitir proteção de retenção para objetos excluídos.",
      "guid": "2ba52752-6944-4008-ae7d-7e4843276d8b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Siga um modelo de privilégio mínimo limitando a autorização para excluir permanentemente chaves, segredos e certificados para funções personalizadas do Azure Active Directory (Azure AD) personalizadas.",
      "guid": "dc055bcf-619e-48a1-9f98-879525d62688",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Automatize o processo de gestão e renovação de certificados com as autoridades públicas de certificados para facilitar a administração.",
      "guid": "6d70ba6c-97be-4995-8904-83845c986cb2",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Estabeleça um processo automatizado para rotação de chaves e certificados.",
      "guid": "913156a1-2476-4e49-b541-acdce979377b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Habilite o ponto final do serviço de rede virtual e firewall ou ponto final privado no cofre para controlar o acesso ao cofre da chave.",
      "guid": "cdb3751a-b2ab-413a-ba6e-55d7d8a2adb1",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Use o espaço de trabalho Azure Monitor Log Analytics central da plataforma para auditar a chave, o certificado e o uso secreto em cada instância do Key Vault.",
      "guid": "17d6326a-f625-4ca4-9e56-95f2223ace8c",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/monitor-key-vault"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "A instantaneidade do Projeto de Lei do Cofre de Chaves e o acesso privilegiado e o uso da Política Azure para impor uma configuração consistente em conformidade.",
      "guid": "b12308ca-5017-4f15-9e3a-b3693829e7e3",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Padrão para as chaves gerenciadas pela Microsoft para a funcionalidade principal de criptografia e use chaves gerenciadas pelo cliente quando necessário.",
      "guid": "16183687-a047-47a2-8994-5bda43334f24",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/security/fundamentals/encryption-atrest"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Use um Cofre de Chave Azure por aplicativo por ambiente por região.",
      "guid": "91163418-2ba5-4275-8694-4008be7d7e48",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segredos",
      "text": "Se você quiser trazer suas próprias chaves, isso pode não ser suportado em todos os serviços considerados. Implementar mitigação relevante para que as inconsistências não atuem os resultados desejados. Escolha pares de regiões apropriadas e regiões de recuperação de desastres que minimizem a latência.",
      "guid": "25d62688-6d70-4ba6-a97b-e99519048384",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/key-vault/general/best-practices"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Alavancar a Política Azure",
      "guid": "5c986cb2-9131-456a-8247-6e49f541acdc",
      "severity": "Alto",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Identifique as tags Azure necessárias e use o modo de política de apêndice para impor o uso.",
      "guid": "e979377b-cdb3-4751-ab2a-b13ada6e55d7",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/naming-and-tagging"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Mapear os requisitos regulatórios e de conformidade para definições de políticas azure e atribuições de papéis do Azure.",
      "guid": "d8a2adb1-17d6-4326-af62-5ca44e5695f2",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Estabeleça definições de políticas Azure no grupo de gerenciamento de raízes de alto nível para que possam ser atribuídos em escopos herdados",
      "guid": "223ace8c-b123-408c-a501-7f154e3ab369",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Gerenciar atribuições de políticas no mais alto nível apropriado com exclusões em níveis inferiores, se necessário",
      "guid": "3829e7e3-1618-4368-9a04-77a209945bda",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Use a Política Azure para controlar registros de provedores de recursos nos níveis de assinatura e/ou grupo de gerenciamento",
      "guid": "43334f24-9116-4341-a2ba-527526944008",
      "severity": "Baixo",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Use políticas incorporadas sempre que possível para minimizar a sobrecarga operacional.",
      "guid": "be7d7e48-4327-46d8-adc0-55bcf619e8a1",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Atribua o papel de contribuinte de políticas incorporada em um escopo específico para permitir a governança em nível de aplicativo.",
      "guid": "3f988795-25d6-4268-a6d7-0ba6c97be995",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Limitar o número de atribuições de políticas do Azure feitas no escopo do grupo de gerenciamento raiz para evitar o gerenciamento através de exclusões em escopos herdados.",
      "guid": "19048384-5c98-46cb-8913-156a12476e49",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/overview"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "Use as políticas do Azure para implantar automaticamente configurações de software através de extensões VM e impor uma configuração VM de linha de base compatível.",
      "guid": "f541acdc-e979-4377-acdb-3751ab2ab13a",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/governance/policy/concepts/guest-configuration"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Governança",
      "text": "A configuração de segurança do Monitor VM deriva através da Política Azure.",
      "guid": "da6e55d7-d8a2-4adb-817d-6326af625ca4",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/management-operational-compliance#monitoring-for-configuration-drift"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Use os recursos de relatórios do Azure AD para gerar relatórios de auditoria de controle de acesso.",
      "guid": "4e5695f2-223a-4ce8-ab12-308ca5017f15",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/active-directory/reports-monitoring/overview-reports"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Exporte logs de atividade do Azure para logs de monitor do Azure para retenção de dados de longo prazo. Exportar para o Armazenamento Azure para armazenamento a longo prazo após dois anos, se necessário.",
      "guid": "4e3ab369-3829-4e7e-9161-83687a0477a2",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/logs-data-export?tabs=portal"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Habilite o Defender for Cloud Standard para todas as assinaturas.",
      "guid": "09945bda-4333-44f2-9911-634182ba5275",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/security-center/"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Monitore a deriva de correção do sistema operacional base através de Logs de Monitor Azure e Defender for Cloud.",
      "guid": "15833ee7-ad6c-46d3-9331-65c7acbe44ab",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/security-center/"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Conecte configurações de recursos padrão a um espaço de trabalho centralizado do Azure Monitor Log Analytics.",
      "guid": "e5f8d79f-2e87-4768-924c-516775c6ea95",
      "severity": "Média",
      "link": "https://docs.microsoft.com/azure/azure-monitor/logs/design-logs-deployment"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Determine o plano de resposta a incidentes para os serviços do Azure antes de permitir a produção.",
      "guid": "b86ad884-08e3-4727-94b8-75ba18f20459",
      "severity": "Média",
      "link": "https://docs.microsoft.com/security/benchmark/azure/security-control-incident-response"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Implementar uma abordagem de confiança zero para acesso à plataforma Azure, quando for o caso.",
      "guid": "01365d38-e43f-49cc-ad86-8266abca264f",
      "severity": "Média",
      "link": "https://www.microsoft.com/security/business/zero-trust"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Planeje como novos serviços azure serão implementados",
      "guid": "9a19bf39-c95d-444c-9c89-19ca1f6d5215",
      "severity": "Média",
      "link": "https://docs.microsoft.com/security/benchmark/azure/security-control-incident-response"
    },
    {
      "category": "Segurança, Governança e Compliance",
      "subcategory": "Segurança",
      "text": "Planeje como a solicitação de serviço será atendida para os serviços do Azure",
      "guid": "ae514b93-3d45-485e-8112-9bd7ba012f7b",
      "severity": "Média",
      "link": "https://docs.microsoft.com/security/benchmark/azure/security-control-incident-response"
    }
  ],
  "categories": [
    {
      "name": "Identidade e Acesso"
    },
    {
      "name": "Topologia e Conectividade de Rede"
    },
    {
      "name": "Segurança, Governança e Compliance"
    },
    {
      "name": "Gestão e Monitoramento"
    },
    {
      "name": "Grupo de Gestão e Assinaturas"
    },
    {
      "name": "Operações"
    },
    {
      "name": "Implantação de aplicativos"
    }
  ],
  "status": [
    {
      "name": "Não verificado",
      "description": "Este cheque ainda não foi examinado."
    },
    {
      "name": "Abrir",
      "description": "Há um item de ação associado a este cheque"
    },
    {
      "name": "Cumprido",
      "description": "Esta verificação foi verificada, e não há mais itens de ação associados a ele"
    },
    {
      "name": "Não é necessário",
      "description": "Recomendação compreendida, mas não necessária pelos requisitos atuais"
    },
    {
      "name": "N/A",
      "description": "Não é aplicável para o design atual"
    }
  ],
  "metadata": {
    "name": "Revisão da zona de desembarque do Azure"
  }
}