forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
lz_checklist.pt.json
1498 lines (1498 loc) · 87.2 KB
/
lz_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
{
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"items": [
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Implementar para contas de acesso de emergência ou de vidro de quebra para evitar o bloqueio de conta em todo o inquilino",
"guid": "984a859c-773e-47d2-9162-3a765a917e1f",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/modules/azure-ad-privileged-identity-management/",
"link": "https://docs.microsoft.com/azure/active-directory/roles/security-emergency-access"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Imponha um modelo RBAC para grupos de gerenciamento, assinaturas, grupos de recursos e recursos",
"guid": "348ef254-c27d-442e-abba-c7571559ab91",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"link": "https://docs.microsoft.com/azure/role-based-access-control/overview"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Impor políticas de acesso condicional ao Azure AD para qualquer usuário com direitos a ambientes Azure",
"guid": "53e8908a-e28c-484c-93b6-b7808b9fe5c4",
"severity": "Baixo",
"training": "https://docs.microsoft.com/learn/modules/plan-implement-administer-conditional-access/",
"link": "https://docs.microsoft.com/azure/active-directory/conditional-access/overview"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Imponha autenticação multifatorial para qualquer usuário com direitos aos ambientes Azure",
"guid": "1049d403-a923-4c34-94d0-0018ac6a9e01",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/modules/secure-aad-users-with-mfa/",
"link": "https://docs.microsoft.com/azure/active-directory/authentication/concept-mfa-howitworks"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Impor responsabilidades centralizadas e delegadas para gerenciar recursos implantados dentro da zona de pouso com base nos requisitos de função e segurança",
"guid": "e6a83de5-de32-4c19-a248-1607d5d1e4e6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/",
"link": "https://docs.microsoft.com/azure/role-based-access-control/overview"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Impor o Azure AD Privileged Identity Management (PIM) para estabelecer acesso permanente zero e menos privilégio",
"guid": "14658d35-58fd-4772-99b8-21112df27ee4",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/azure-ad-privileged-identity-management/",
"link": "https://docs.microsoft.com/azure/active-directory/privileged-identity-management/pim-configure"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Use apenas o tipo de autenticação Trabalho ou conta escolar para todos os tipos de conta. Evite usar a conta da Microsoft",
"guid": "12e7f983-f630-4472-8dd6-9c5b5c2622f5",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/modules/explore-basic-services-identity-types/",
"link": "https://docs.microsoft.com/azure/active-directory/roles/security-planning#identify-microsoft-accounts-in-administrative-roles-that-need-to-be-switched-to-work-or-school-accounts"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Só use grupos para atribuir permissões. Adicione grupos no local ao grupo somente Azure-AD se um sistema de gerenciamento de grupo já estiver em vigor.",
"guid": "4b69bad3-3rd-45e8-a68e-1d76667313b4",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/manage-identity-and-access/",
"link": "https://docs.microsoft.com/azure/active-directory/fundamentals/active-directory-groups-create-azure-portal"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Considere usar funções personalizadas do Azure para as seguintes funções-chave: proprietário da plataforma Azure, gerenciamento de rede, operações de segurança, proprietário de assinatura, proprietário de aplicativos",
"guid": "f5664b5e-984a-4859-a773-e7d261623a76",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/create-custom-azure-roles-with-rbac/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/identity-access#prerequisites-for-a-landing-zone---design-recommendations"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Se houver quaisquer requisitos de soberania de dados, as Políticas Azure podem ser implantadas para aplicá-las",
"guid": "5a917e1f-348e-4f25-9c27-d42e8bbac757",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-your-cloud-data/",
"link": "https://azure.microsoft.com/resources/achieving-compliant-data-residency-and-security-with-azure/"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Se o Azure Active Directory Domains Services (AADDS) estiver em uso, implante o AADDS dentro da região primária, porque esse serviço só pode ser projetado em uma assinatura",
"guid": "1559ab91-53e8-4908-ae28-c84c33b6b780",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/azure-active-directory/",
"link": "https://docs.microsoft.com/azure/active-directory-domain-services/overview"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Se o AADDS estiver em uso, avalie a compatibilidade de todas as cargas de trabalho",
"guid": "8b9fe5c4-1049-4d40-9a92-3c3474d0018",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/implement-hybrid-identity-windows-server/",
"link": "https://docs.microsoft.com/azure/active-directory-domain-services/overview"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Se o AD no servidor Windows estiver em uso, todos os recursos necessários podem acessar o controlador de domínio correto?",
"guid": "ac6a9e01-e6a8-43de-9de3-2c1992481607",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-windows-server-iaas-virtual-machine-identity/",
"link": "https://docs.microsoft.com/azure/architecture/reference-architectures/identity/adds-extend-domain"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Considere usar o Azure AD Application Proxy como VPN ou substituição reversa de proxy para dar aos usuários remotos acesso seguro e autenticado a aplicativos internos (hospedados na nuvem ou no local).",
"guid": "d5d1e4e6-1465-48d3-958f-d77249b82111",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy"
},
{
"category": "Identidade e Acesso",
"subcategory": "Identidade",
"text": "Evite usar contas sincronizadas no local para atribuições de papel do Azure AD.",
"guid": "35037e68-9349-4c15-b371-228514f4cdff",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-identity-security-strategy/",
"link": "https://docs.microsoft.com/azure/active-directory/roles/best-practices"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Impor hierarquia de grupo de gestão razoavelmente plana com não mais do que três a quatro níveis, idealmente",
"guid": "2df27ee4-12e7-4f98-9f63-04722dd69c5b",
"severity": "Média",
"graph": "contêineres de recursos| quando tipo == 'microsoft.resources/subscriptions'| estender ManagementGroup = tostring (tags),mgmtChain = propriedades.managementGroupAncestorsChain| estender compatível =(array_length(mgmtChain) < 4 e array_length(mgmtChain) > 1)",
"training": "https://docs.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Aplicar ou anexar tags de recursos através da Política Azure",
"guid": "5c2622f5-4b69-4bad-93aa-d5e8c68e1d76",
"severity": "Média",
"graph": "| recursos estender compatível = isnotnull (['tags']) | nome do projeto, id, subscriptionId, resourceGroup, tags, compatível",
"training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/decision-guides/resource-tagging/?toc=/azure/azure-resource-manager/management/toc.json"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha um grupo de gerenciamento de caixas de areia para permitir que os usuários experimentem imediatamente com o Azure",
"guid": "667313b4-f566-44b5-b984-a859c773e7d2",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha um grupo de gerenciamento de plataformas sob o grupo de gerenciamento raiz para apoiar a política de plataforma comum e a atribuição de papel do Azure",
"guid": "61623a76-5a91-47e1-b348-ef254c27d42e",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha uma assinatura de conectividade dedicada no grupo de gerenciamento da Plataforma para hospedar um hub Azure Virtual WAN, DNS (Domain Name System, sistema de nomes de domínio privado), circuito ExpressRoute e outros recursos de rede.",
"guid": "8bbac757-1559-4ab9-853e-8908ae28c84c",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-group-recommendations"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Não impor assinaturas são colocadas sob o grupo de gerenciamento raiz",
"guid": "33b6b780-8b9f-4e5c-9104-9d403a923c34",
"severity": "Média",
"graph": "contêineres de recursos| quando tipo == 'microsoft.resources/subscriptions'| estender ManagementGroup = tostring (tags),mgmtChain = propriedades.managementGroupAncestorsChain| estender compatível = (array_length(mgmtChain) > 1)",
"link": "https://docs.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---default-management-group"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha que apenas usuários privilegiados possam operar grupos de gerenciamento no inquilino, permitindo a autorização do Azure RBAC nas configurações de hierarquia do grupo de gerenciamento",
"guid": "74d00018-ac6a-49e0-8e6a-83de5de32c19",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/governance/management-groups/how-to/protect-resource-hierarchy#setting---require-authorization"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha grupos de gerenciamento sob o grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho, com base em suas necessidades de segurança, conformidade, conectividade e recursos.",
"guid": "92481607-d5d1-4e4e-9146-58d3558fd772",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Impor um processo para conscientizar os proprietários de recursos sobre suas funções e responsabilidades, revisão de acesso, revisão orçamentária, conformidade com a política e correção quando necessário.",
"guid": "49b82111-2df2-47ee-912e-7f983f630472",
"severity": "Alto",
"link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Certifique-se de que todos os proprietários de assinaturas e a equipe do núcleo de TI estejam cientes das limitações de suporte de assinatura como parte das sessões de design de carga de trabalho.",
"guid": "2dd69c5b-5c26-422f-94b6-9bad33aad5e8",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Use instâncias reservadas quando apropriado para otimizar custos e garantir a capacidade disponível nas regiões-alvo. Aplique o uso de SKUs VM de instância reservada adquirida através da Política Azure.",
"guid": "c68e1d76-6673-413b-9f56-64b5e984a859",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/paths/improve-reliability-modern-operations/",
"link": "https://docs.microsoft.com/azure/cost-management-billing/reservations/save-compute-costs-reservations"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Imponha um painel, pasta de trabalho ou processo manual para monitorar os níveis de capacidade usados",
"guid": "c773e7d2-6162-43a7-95a9-17e1f348ef25",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/paths/monitor-usage-performance-availability-resources-azure-monitor/",
"link": "https://docs.microsoft.com/azure/architecture/framework/scalability/design-capacity"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Certifique-se de que os serviços e recursos necessários estejam disponíveis nas regiões de implantação escolhidas",
"guid": "4c27d42e-8bba-4c75-9155-9ab9153e8908",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/azure-architecture-fundamentals/",
"link": "https://azure.microsoft.com/global-infrastructure/services/"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Impor um processo de gestão de custos",
"guid": "ae28c84c-33b6-4b78-88b9-fe5c41049d40",
"severity": "Alto",
"training": "https://docs.microsoft.com/learn/paths/control-spending-manage-bills/",
"link": "https://docs.microsoft.com/azure/cost-management-billing/cost-management-billing-overview"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Se aD no Windows Server, estabeleça uma assinatura de identidade dedicada no grupo de gerenciamento da Plataforma para hospedar controladores de domínio do Windows Server Active Directory",
"guid": "3a923c34-74d0-4001-aac6-a9e01e6a83de",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/enterprise-scale-architecture/",
"link": "https://docs.microsoft.com/azure/governance/management-groups/overview"
},
{
"category": "Grupo de Gestão e Assinaturas",
"subcategory": "Assinaturas",
"text": "Garantir que as etiquetas sejam usadas para faturamento e gerenciamento de custos",
"guid": "5de32c19-9248-4160-9d5d-1e4e614658d3",
"severity": "Média",
"graph": "| recursos estender compatível = isnotnull (['tags']) | nome do projeto, id, subscriptionId, resourceGroup, tags, compatível",
"training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/track-costs"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Certifique-se de não haver espaços de endereço IP sobrepostos em todas as regiões do Azure e locais no local",
"guid": "558fd772-49b8-4211-82df-27ee412e7f98",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Certifique-se de usar endereços IP da alocação de endereços para internets privadas (RFC 1918).",
"guid": "3f630472-2dd6-49c5-a5c2-622f54b69bad",
"severity": "Média",
"graph": "| recursos onde tipo == 'microsoft.network/virtualnetworks' | estender o addressSpace = todynamic (properties.addressSpace) | estender endereçoPrefix = todynamic (propriedades.addressSpace.addressPrefixes) | endereço mvexpandO espaço | endereço mvexpandPrefix | nome do projeto, id, localização, resourceGroup, subscriptionId, cidr = endereçoPrefix | estender compatível = (partidas cidr regex @'^(10(\\\\.( 25[0-5]|2[0-4][0-9]|1[0-9]{1,2}| [0-9] {1,2})) {3}| ((172\\\\. (1[6-9]|2[0-9]|3[01]))| 192\\\\.168)(\\\\.( 25[0-5]|2[0-4][0-9]|1[0-9]{1,2}| [0-9] {1,2})) {2})') | nome do projeto, id, assinaturaId, resourceGroup, compatível, cidr",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Certifique-se de que o espaço de endereço IP não seja desperdiçado, não crie redes virtuais desnecessariamente grandes (por exemplo /16) ",
"guid": "33aad5e8-c68e-41d7-9667-313b4f5664b5",
"severity": "Média",
"graph": "| recursos onde tipo == 'microsoft.network/virtualnetworks' | estender o addressSpace = todynamic (properties.addressSpace) | estender endereçoPrefix = todynamic (propriedades.addressSpace.addressPrefixes) | endereço mvexpandO espaço | endereço mvexpandPrefix | estender endereçoMask = split(endereçoPrefix,'/')[1] | estender compatível = endereçoMask >= 16 | nome do projeto, id, assinaturaId, resourceGroup, addressPrefix, compatível",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Certifique-se de que não há faixa de endereço IP público (bloco CIDR) para VNETs, especialmente se não for propriedade de sua organização",
"guid": "e984a859-c773-4e7d-8616-23a765a917e1",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-ip-addressing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Evite usar faixas de endereço IP sobrepostas para locais de produção e DR.",
"guid": "f348ef25-4c27-4d42-b8bb-ac7571559ab9",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"link": "https://docs.microsoft.com/azure/site-recovery/concepts-on-premises-to-azure-networking#retain-ip-addresses"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Para ambientes onde a resolução de nomes no Azure é tudo o que é necessário, use O Azure Private DNS para resolução. Crie uma zona delegada para resolução de nomes (como 'azure.contoso.com').",
"guid": "153e8908-ae28-4c84-a33b-6b7808b9fe5c",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Para ambientes onde a resolução de nomes no Azure e no local é necessária, use a infraestrutura DNS existente (por exemplo, DNS integrado do Active Directory) implantada em pelo menos duas máquinas virtuais (VMs). Configure as configurações de DNS em redes virtuais para usar esses servidores DNS.",
"guid": "41049d40-3a92-43c3-974d-00018ac6a9e0",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Cargas de trabalho especiais que requerem e implantam seu próprio DNS (como o Red Hat OpenShift) devem usar sua solução DNS preferida.",
"guid": "1e6a83de-5de3-42c1-a924-81607d5d1e4e",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Plano IP",
"text": "Habilite o registro automático do Azure DNS para gerenciar automaticamente o ciclo de vida dos registros de DNS para as máquinas virtuais implantadas em uma rede virtual.",
"guid": "614658d3-558f-4d77-849b-821112df27ee",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/az-104-manage-virtual-networks/",
"link": "https://docs.microsoft.com/azure/dns/private-dns-autoregistration"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Considere o VIRTUAL WAN para gerenciamento simplificado de rede do Azure e certifique-se de que seu cenário seja explicitamente descrito na lista de projetos de roteamento VIRTUAL WAN",
"guid": "412e7f98-3f63-4047-82dd-69c5b5c2622f",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/introduction-azure-virtual-wan/",
"link": "https://docs.microsoft.com/azure/virtual-wan/scenario-any-to-any"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Use um hub virtual wan por região do Azure para conectar várias zonas de pouso em todas as regiões do Azure através de um WAN virtual global comum.",
"guid": "54b69bad-33aa-4d5e-ac68-e1d76667313b",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Use os recursos de roteamento do Hub Virtual para aumentar ainda mais o tráfego entre VNets e filiais.",
"guid": "4f5664b5-e984-4a85-ac77-3e7d261623a7",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Conecte hubs VIRTUAIS WAN a datacenters no local usando o ExpressRoute",
"guid": "65a917e1-f348-4ef2-94c2-7d42e8bbac75",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/configure-expressroute-virtual-wan/",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Conecte filiais e locais remotos ao hub virtual WAN mais próximo via VPN local-a-site ou habilite a conectividade de filiais ao VIRTUAL WAN através de uma solução de parceiro SD-WAN.",
"guid": "71559ab9-153e-4890-aae2-8c84c33b6b78",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-hybrid-networking/",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Conecte os usuários ao hub WAN virtual através de uma VPN ponto a ponto.",
"guid": "08b9fe5c-4104-49d4-83a9-23c3474d0001",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-hybrid-networking/",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Siga o princípio 'tráfego no Azure permanece no Azure' para que a comunicação entre os recursos no Azure ocorra através da rede backbone da Microsoft",
"guid": "8ac6a9e0-1e6a-483d-b5de-32c199248160",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Para proteger e filtrar de tráfego na Internet de saída, implante o Azure Firewall",
"guid": "7d5d1e4e-6146-458d-9558-fd77249b8211",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Ao implantar tecnologias de rede de parceiros e NVAs no VWAN, verifique a configuração com a orientação do fornecedor parceiro para garantir que não haja configurações conflitantes",
"guid": "12df27ee-412e-47f9-a3f6-304722dd69c5",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Certifique-se de que os recursos do Azure Virtual WAN e do Firewall Azure sejam criados na assinatura de conectividade.",
"guid": "b5c2622f-54b6-49ba-b33a-ad5e8c68e1d7",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/virtual-wan-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Certifique-se de que a arquitetura de rede está dentro dos limites do Azure Virtual WAN.",
"guid": "6667313b-4f56-464b-9e98-4a859c773e7d",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Virtual WAN",
"text": "Use o Azure Monitor Insights for Virtual WAN para monitorar a topologia completa da WAN virtual, status e métricas-chave.",
"guid": "261623a7-65a9-417e-8f34-8ef254c27d42",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-wan/azure-monitor-insights"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Considere um design de rede baseado na topologia tradicional de rede hub-and-spoke para os seguintes cenários: uma arquitetura de rede implantada dentro de uma única região do Azure; uma arquitetura de rede abrange várias regiões do Azure sem necessidade de conectividade transitiva entre redes virtuais para zonas de pouso em todas as regiões; uma arquitetura de rede que abrange várias regiões do Azure com pares globais de VNet usados para conectar redes virtuais em regiões do Azure; uma arquitetura de rede sem necessidade de conectividade transitiva entre conexões VPN e ExpressRoute; o principal método de conectividade híbrida em vigor é o ExpressRoute, e o número de conexões VPN é inferior a 30 por gateway VPN; há uma dependência de NVAs centralizados e roteamento granular.",
"guid": "e8bbac75-7155-49ab-a153-e8908ae28c84",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/enterprise-scale/network-topology-and-connectivity"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Garanta que os serviços compartilhados, incluindo gateways ExpressRoute, gateways VPN e Firewall Azure ou NVAs parceiros na rede virtual central. Se necessário, também implante controladores de domínio active Directory e servidores DNS.",
"guid": "7dd61623-a364-4a90-9eca-e48ebd54cd7d",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/architecture/reference-architectures/hybrid-networking/expressroute"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Ao implantar tecnologias de rede de parceiros ou NVAs, siga a orientação do fornecedor parceiro",
"guid": "e2e8abac-3571-4559-ab91-53e89f89dc7b",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/architecture/reference-architectures/dmz/nva-ha"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Não implante serviços L7 de entrada, como o Azure Application Gateway, como um serviço compartilhado na rede virtual central. Em vez disso, implante-os junto com o aplicativo em suas respectivas zonas de pouso.",
"guid": "44ce3b1a-2808-4b9e-a1bf-1038df03a822",
"severity": "Média",
"link": "https://azure.microsoft.com/solutions/network-appliances/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Se você precisar de trânsito entre gateways ExpressRoute e VPN, use o Azure Route Server.",
"guid": "ce463dbb-bc8a-4c2a-aebc-92a43da1dae2",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-howto-coexist-resource-manager#to-enable-transit-routing-between-expressroute-and-azure-vpn"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Para arquiteturas de rede com várias topologias de hub-and-spoke em todas as regiões do Azure, use o Global Virtual Network Peering para conectar redes virtuais da zona de pouso quando um pequeno número de zonas de pouso precisa se comunicar entre regiões. ",
"guid": "cc881471-607c-41cc-a0e6-14658dd558f9",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/azure-administrator-manage-virtual-networks/",
"link": "https://docs.microsoft.com/azure/virtual-network/virtual-networks-faq#can-i-create-a-peering-connection-to-a-vnet-in-a-different-region"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Quando você implantar uma arquitetura de rede hub-and-spoke em duas regiões do Azure e a conectividade de trânsito entre todas as zonas de pouso em todas as regiões é necessária, use o ExpressRoute com circuitos duplos para fornecer conectividade de trânsito para redes virtuais da zona de pouso em todas as regiões do Azure. ",
"guid": "37239b82-1112-4dbd-9eaf-12e6f943e53f",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-faqs"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Use o Azure Monitor for Networks para monitorar o estado de ponta a ponta das redes no Azure.",
"guid": "4722d929-c1b1-4cd6-81f5-4b29bade39ad",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
"link": "https://docs.microsoft.com/azure/azure-monitor/insights/network-insights-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Hub e falou",
"text": "Ao conectar redes virtuais spoke para a rede virtual central hub, considere os limites de peering da VNet e o número máximo de prefixos que podem ser anunciados via ExpressRoute",
"guid": "0e7c28ec-9366-4572-83b0-f4664b1d944a",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/azure-resource-manager/management/azure-subscription-service-limits?toc=/azure/virtual-network/toc.json#azure-resource-manager-virtual-networking-limits"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Certifique-se de que você investigou a possibilidade de usar o ExpressRoute como conexão primária com o Azure.",
"guid": "359c373e-7dd6-4162-9a36-4a907ecae48e",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/architecture/reference-architectures/hybrid-networking/hub-spoke?tabs=cli"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Quando você usar vários circuitos ExpressRoute ou vários locais no prem, certifique-se de otimizar o roteamento com atributos BGP, se determinados caminhos forem preferidos.",
"guid": "f29812b2-363c-4efe-879b-599de0d5973c",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Certifique-se de que você está usando o SKU certo para os gateways ExpressRoute/VPN com base nos requisitos de largura de banda e desempenho.",
"guid": "d4cd21b0-8813-47f5-b6c4-cfd3e504547c",
"severity": "Média",
"graph": "recursos| onde tipo == 'microsoft.network/virtualnetworkgateways'| onde propriedades.gatewayType =~ 'vpn' ou propriedades.gatewayType == 'ExpressRoute'| estender SKUName = properties.sku.name, SKUTier = propriedades.sku.tier, Type = properties.gatewayType| estender compatível = SKUTier !in ('Básico', 'Padrão')| nome do projeto, id, subscriptionId, resourceGroup, compatível",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Implante um gateway ExpressRoute redundante de zona nas regiões do Azure suportadas.",
"guid": "2447ec66-138a-4720-8f1c-e16ed301d6e8",
"severity": "Média",
"graph": "recursos| onde tipo == 'microsoft.network/virtualnetworkgateways'| onde propriedades.gatewayType =~ 'vpn' ou propriedades.gatewayType == 'ExpressRoute'| estender SKUName = properties.sku.name, SKUTier = propriedades.sku.tier, Type = properties.gatewayType| estender compatível = SKUTier contém 'AZ'| nome do projeto, id, assinaturaId, resourceGroup, Type, compatível",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-about-virtual-network-gateways"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Para cenários que requerem largura de banda superior a 10 Gbps ou portas dedicadas de 10/100 Gbps, use o ExpressRoute Direct.",
"guid": "72e52e36-11cc-458b-9a4b-1511e43a58a9",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/networking/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Quando a baixa latência é necessária ou a transferência de on-premises para o Azure deve ser superior a 10 Gbps, permita que o FastPath contorne o gateway ExpressRoute a partir do caminho de dados.",
"guid": "c2299c4d-7b57-4d0c-9555-62f2b3e4563a",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Use gateways VPN para conectar ramos ou locais remotos ao Azure. Para maior resiliência, implante gateways redundantes de zona (quando disponível).",
"guid": "4d873974-8b66-42d6-b15f-512a65498f6d",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-routing"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Use o ExpressRoute Global Reach para conectar grandes escritórios, sedes regionais ou datacenters conectados ao Azure via ExpressRoute.",
"guid": "fe237de1-43b1-46c3-8d7a-a9b64704489a",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/networking/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Quando for necessário isolamento de tráfego ou largura de banda dedicada, como separar ambientes de produção e não produção, use diferentes circuitos ExpressRoute. Ele ajudará você a garantir domínios isolados de roteamento e aliviar riscos de vizinhos barulhentos.",
"guid": "8042d88e-79d1-47b7-9b22-a5a67e7a8ed4",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/architecture/framework/services/networking/expressroute/reliability"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Monitore a disponibilidade e a utilização do ExpressRoute usando métricas incorporadas do Azure Monitor.",
"guid": "b30e38c3-f298-412b-8363-cefe179b599d",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-monitoring-metrics-alerts"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Use o Monitor de Conexão para monitoramento de conectividade em todo o ambiente.",
"guid": "5bf68dc9-325e-4873-bf88-f8214ef2e5d2",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/how-to-configure-connection-monitor"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Híbrido",
"text": "Não use explicitamente circuitos ExpressRoute de um único local de observação. Isso cria um único ponto de falha e torna a organização suscetível a paralisações de localização.",
"guid": "e0d5973c-d4cd-421b-8881-37f5e6c4cfd3",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/expressroute/designing-for-disaster-recovery-with-expressroute-privatepeering#challenges-of-using-multiple-expressroute-circuits"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Se você precisar de comunicação privada para serviços PaaS, considere as diferentes opções disponíveis.",
"guid": "e504547c-2447-4ec6-9138-a7200f1ce16e",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-private-access-to-azure-services/",
"link": "https://docs.microsoft.com/azure/virtual-network/vnet-integration-for-azure-services"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Os serviços Azure PaaS que foram injetados em uma rede virtual ainda realizam operações de plano de gerenciamento usando endereços IP públicos. Certifique-se de que esta comunicação não está quebrada",
"guid": "d301d6e8-72e5-42e3-911c-c58b5a4b1511",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
"link": "https://docs.microsoft.com/azure/virtual-network/vnet-integration-for-azure-services"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Use o Private Link, quando disponível, para serviços Azure PaaS compartilhados.",
"guid": "e43a58a9-c229-49c4-b7b5-7d0c655562f2",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Acesse os serviços Azure PaaS a partir de locais via ExpressRoute peering privado. Esse método evita transitar pela internet pública.",
"guid": "b3e4563a-4d87-4397-98b6-62d6d15f512a",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-azure-expressroute/",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Use pontos finais de serviço de rede virtual quando o Private Link não estiver disponível",
"guid": "65498f6d-fe23-47de-843b-16c31d7aa9b6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Não habilite pontos finais de serviço de rede virtual por padrão em todas as sub-redes.",
"guid": "4704489a-8042-4d88-b79d-17b73b22a5a6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Não use pontos finais de serviço de rede virtual quando houver preocupações de exfiltração de dados, a menos que você use filtragem de NVA.",
"guid": "7e7a8ed4-b30e-438c-9f29-812b2363cefe",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Paas",
"text": "Não implemente túneis forçados para permitir a comunicação dos recursos do Azure para o Azure.",
"guid": "179b599d-e0d5-4973-ad4c-d21b088137f5",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/?source=learn",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Use o Firewall Azure para governar o tráfego de saída do Azure para a internet, conexões de entrada não-HTTP/S e filtragem de tráfego Leste/Oeste (se a organização exigir)",
"guid": "e6c4cfd3-e504-4547-a244-7ec66138a720",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/app-service/networking-features"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Use o Firewall Manager com WAN virtual para implantar e gerenciar firewalls do Azure em hubs VIRTUAIS WAN ou em redes virtuais de hub. O Firewall Manager agora está em disponibilidade geral tanto para redes virtuais de WAN quanto para redes virtuais regulares.",
"guid": "0f1ce16e-d301-4d6e-a72e-52e3611cc58b",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/firewall/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Crie uma política global do Azure Firewall para governar a postura de segurança em todo o ambiente de rede global e atribua-as a todas as instâncias do Azure Firewall. Permitir que políticas granulares atendam aos requisitos de regiões específicas, delegando políticas incrementais de firewall para equipes de segurança locais através do controle de acesso baseado em papéis do Azure.",
"guid": "5a4b1511-e43a-458a-ac22-99c4d7d7b57d0c",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/firewall/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Configure os provedores de segurança SaaS parceiros suportados dentro do Firewall Manager se a organização quiser usar essas soluções para ajudar a proteger conexões de saída.",
"guid": "655562f2-b3e4-4563-a4d8-739748b662d6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/firewall/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Use o WAF dentro de uma rede virtual de zona de pouso para proteger o tráfego HTTP/S de entrada da internet.",
"guid": "d15f512a-6549-48f6-bfe2-37de143b16c3",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/firewall/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Use as políticas Azure Front Door e WAF para fornecer proteção global em todas as regiões do Azure para conexões HTTP/S de entrada a uma zona de pouso.",
"guid": "1d7aa9b6-4704-4489-a804-2d88e79d17b7",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/afds/afds-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Ao usar o Azure Front Door e o Azure Application Gateway para ajudar a proteger aplicativos HTTP/S, use as políticas WAF no Azure Front Door. Bloqueie o Portal de Aplicativos Azure para receber tráfego apenas a partir da Porta da Frente do Azure.",
"guid": "3b22a5a6-7e7a-48ed-9b30-e38c3f29812b",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Se os NVAs parceiros forem necessários para conexões HTTP/S de entrada, implante-as dentro de uma rede virtual de zona de pouso e, juntamente com os aplicativos que estão protegendo e expondo à internet.",
"guid": "2363cefe-179b-4599-be0d-5973cd4cd21b",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Internet",
"text": "Use os planos de proteção padrão de proteção do Azure DDoS para ajudar a proteger todos os pontos finais públicos hospedados nas redes virtuais.",
"guid": "088137f5-e6c4-4cfd-9e50-4547c2447ec6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-reference-architectures"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Realize a entrega de aplicativos dentro de zonas de pouso para aplicativos voltados para internos (corp) e externos (on-line).",
"guid": "6138a720-0f1c-4e16-bd30-1d6e872e52e3",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-groups-in-the-azure-landing-zone-accelerator"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Para uma entrega segura de aplicativos HTTP/S, use o Application Gateway v2 e garanta que a proteção e as políticas do WAF estejam ativadas.",
"guid": "611cc58b-5a4b-4151-8e43-a58a9c2299c4",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Use um NVA parceiro se você não puder usar o Application Gateway v2 para a segurança de aplicativos HTTP/S.",
"guid": "d7b57d0c-6555-462f-8b3e-4563a4d87397",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/architect-network-infrastructure/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/organize-resources?tabs=AzureManagementGroupsAndHierarchy"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Implante o Azure Application Gateway v2 ou nVAs parceiros usados para conexões HTTP/S de entrada dentro da rede virtual da zona de pouso e com os aplicativos que eles estão protegendo.",
"guid": "48b662d6-d15f-4512-a654-98f6dfe237de",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-application-delivery/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Use um plano de proteção padrão DDoS para todos os endereços IP públicos em uma zona de pouso.",
"guid": "143b16c3-1d7a-4a9b-9470-4489a8042d88",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Use o Azure Front Door com as políticas WAF para fornecer e ajudar a proteger aplicativos HTTP/S globais que abrangem regiões do Azure.",
"guid": "e79d17b7-3b22-4a5a-97e7-a8ed4b30e38c",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Ao usar o Front Door e o Application Gateway para ajudar a proteger os aplicativos HTTP/S, use as políticas WAF na Porta da Frente. Bloqueie o Gateway de aplicativos para receber tráfego apenas na Porta da Frente.",
"guid": "3f29812b-2363-4cef-b179-b599de0d5973",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/ddos-protection/ddos-protection-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Use o Traffic Manager para fornecer aplicativos globais que abrangem protocolos diferentes do HTTP/S.",
"guid": "cd4cd21b-0881-437f-9e6c-4cfd3e504547",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Se os usuários só precisam de acesso a aplicativos internos, o Azure AD Application Proxy foi considerado como uma alternativa ao Azure Virtual Desktop (AVD)?",
"guid": "3b4b3e88-a459-4ed5-a22f-644dfbc58204",
"severity": "Baixo",
"training": "https://docs.microsoft.com/learn/modules/configure-azure-ad-application-proxy/",
"link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Delegado criação de sub-rede para o proprietário da zona de pouso. ",
"guid": "c2447ec6-6138-4a72-80f1-ce16ed301d6e",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-resource-mgmt-security/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-landing-zone-network-segmentation"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Entrega de aplicativos",
"text": "Para reduzir o número de portas de firewall abertas para conexões recebidas em sua rede, considere usar o Azure AD Application Proxy para dar aos usuários remotos acesso seguro e autenticado a aplicativos internos.",
"guid": "01ca7cf1-5754-442d-babb-8ba6772e5c30",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"link": "https://docs.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Use NSGs para ajudar a proteger o tráfego em sub-redes, bem como tráfego leste/oeste em toda a plataforma (tráfego entre zonas de pouso).",
"guid": "872e52e3-611c-4c58-a5a4-b1511e43a58a",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/web-application-firewall/ag/ag-overview"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "A equipe de aplicativos deve usar grupos de segurança de aplicativos nos NSGs de nível sub-rede para ajudar a proteger VMs de vários níveis dentro da zona de pouso.",
"guid": "9c2299c4-d7b5-47d0-a655-562f2b3e4563",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/cloud-adoption-framework/ready/azure-setup-guide/organize-resources?tabs=AzureManagementGroupsAndHierarchy"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Use NSGs e grupos de segurança de aplicativos para microsegmentar o tráfego dentro da zona de pouso e evite usar um NVA central para filtrar fluxos de tráfego.",
"guid": "a4d87397-48b6-462d-9d15-f512a65498f6",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Habilite os registros de fluxo do NSG e alimente-os para o Traffic Analytics para obter insights sobre fluxos de tráfego internos e externos.",
"guid": "dfe237de-143b-416c-91d7-aa9b64704489",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
"link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Use NSGs para permitir seletivamente a conectividade entre zonas de pouso.",
"guid": "a8042d88-e79d-417b-93b2-2a5a67e7a8ed",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Segmentação",
"text": "Para topologias virtuais de WAN, o tráfego de rotas através de zonas de pouso via Firewall Azure se a organização exigir recursos de filtragem e registro para o tráfego fluindo através de zonas de pouso.",
"guid": "4b30e38c-3f29-4812-a236-3cefe179b599",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/secure-networking-infrastructure/",
"link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Encriptação",
"text": "Quando estiver usando o ExpressRoute Direct, configure o MACsec para criptografar o tráfego no nível de camada dois entre os roteadores da organização e o MSEE. O diagrama mostra essa criptografia em fluxo.",
"guid": "de0d5973-cd4c-4d21-a088-137f5e6c4cfd",
"severity": "Média",
"link": "https://docs.microsoft.com/azure/virtual-network/network-security-group-how-it-works"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Encriptação",
"text": "Se o tráfego entre as regiões do Azure deve ser criptografado, use o peering global VNet para conectar redes virtuais em todas as regiões.",
"guid": "3e504547-c244-47ec-9613-8a7200f16",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/firewall/"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Encriptação",
"text": "Para cenários virtuais de WAN, onde o MACsec não é uma opção (por exemplo, não usar o ExpressRoute Direct), use um gateway Virtual WAN VPN para estabelecer túneis IPsec sobre o peering privado ExpressRoute. ",
"guid": "ed301d6e-872e-452e-9611-cc58b5a4b151",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/paths/implement-network-security/",
"link": "https://docs.microsoft.com/azure/expressroute/expressroute-erdirect-about"
},
{
"category": "Topologia e Conectividade de Rede",
"subcategory": "Inspeção",
"text": "Use pacotes de observador de rede para capturar, apesar da janela de captura limitada.",
"guid": "1e43a58a-9c22-499c-9d7b-57d0c655562f",
"severity": "Média",
"training": "https://docs.microsoft.com/learn/modules/design-implement-network-monitoring/",
"link": "https://docs.microsoft.com/azure/virtual-network/virtual-network-peering-overview"