TL;DR: A Microsoft anunciou a disponibilidade geral (GA) das baselines de segurança customizáveis no Azure Machine Configuration. Isso permite ajustar benchmarks como CIS e Azure Compute Security Baseline para atender às suas políticas internas, com suporte expandido para distribuições Linux e Windows Server. O novo fluxo elimina a necessidade de download/upload de JSON, oferece edição in-place de assignments e uma página Overview para identificar assinaturas não cobertas. A mensagem central: compliance como configuração viva, não como artefato estático.
Contexto: O Azure Machine Configuration (anteriormente conhecido como Azure Policy Guest Configuration) continua comprometido com maior segurança e simplicidade no gerenciamento de servidores em escala. Ele permite auditar e configurar sistemas operacionais, aplicativos e workloads – tanto em máquinas Azure quanto em servidores híbridos habilitados para Azure Arc.
Estamos falando da Disponibilidade Geral das Baselines de Segurança Customizáveis no Azure Policy e Machine Configuration. O que começou como Public Preview agora é uma capacidade madura, pronta para produção, que permite adequar benchmarks de segurança do setor aos padrões de compliance da sua organização, em escala.
Esta versão eleva a experiência de "útil" para "padrão do dia a dia". A cobertura de padrões foi expandida, o fluxo de customização e atribuição está mais rápido, o gerenciamento completo do ciclo de vida agora é possível diretamente no portal do Azure, e uma nova página Overview oferece uma visão unificada de quais partes do seu parque ainda não estão protegidas.
O que é Customização de Baseline?
A experiência central permanece: ajuste os padrões de segurança através do assistente Modify Settings em Policy > Machine Configuration. Você pode habilitar, excluir ou ajustar regras de benchmarks existentes, aplicar parâmetros específicos da organização e exportar sua configuração como um arquivo JSON para reuso, versionamento e integração com CI/CD.
Quais as Novidades?
A GA traz quatro mudanças substanciais:
- Cobertura de padrões mais ampla
- Caminho mais rápido da customização até a implantação
- Gerenciamento de ciclo de vida diretamente no portal
- Nova página Overview que revela lacunas de compliance no nível da assinatura
Essas alterações refletem o feedback dos clientes durante o Preview: baselines customizadas precisam conviver com o restante dos workflows de governança, não serem um assistente de uso único.
A abordagem cloud-native continua incorporando os princípios Secure by Design e Secure by Default da Microsoft, com foco na realidade operacional de executar compliance em escala.
Cobertura de Padrões Embutidos (Built-in Policy Standards)
A GA expande o que pode ser customizado e onde é suportado.
| Padrão | Status | Observações |
|---|---|---|
| CIS Benchmarks for Linux | GA | Cobertura de distribuições expandida desde o Preview. Consulte a lista completa na documentação oficial. |
| [NOVO] CIS Benchmarks for Windows | Public Preview | Cobertura inicial para L1 de Domain Controller e Member Server. Mais cobertura em andamento. |
| Azure Compute Security Baseline for Windows | GA | Agora suporta customização para Windows Server 2016 e 2019, além de 2022 e 2025. |
| Azure Compute Security Baseline for Linux | GA | Alinhado com as recomendações do Azure Compute nas distribuições Linux suportadas. |
Cenários Chave
Implantação Mais Rápida
O caminho da customização até a atribuição agora é um fluxo contínuo:
- Pule a etapa de download JSON – as configurações são automaticamente populadas no fluxo de atribuição do Azure Policy.
- Editor de configurações melhorado – valores específicos de função (Domain Controller, Member Server) e entradas formatadas são renderizadas com validação.
- Exportação ainda disponível – para equipes que desejam versionar baselines em source control ou CI/CD.
Resultado: o que antes exigia múltiplas etapas de download e reenvio agora são poucos cliques dentro da mesma interface.
Gerenciamento de Ciclo de Vida no Portal
Baselines de compliance não são artefatos de escrever-e-esquecer. A GA introduz:
- Importar e Modificar – na aba Definitions, você pode importar um JSON de baseline existente e iterar diretamente no portal.
- Editar Configurações em Assignments Ativos – refine regras, ajuste valores ou exclua controles sem destruir e recriar a atribuição.
Isso transforma baselines em algo que você mantém, não algo que você configura e abandona.
Nova Página Overview: Veja Onde Você Está Desprotegido
A página Overview em Policy > Machine Configuration oferece visibilidade por assinatura sobre onde o Machine Configuration está habilitado e onde não está. Para cada assinatura: status (At Risk, Not Enabled, Enabled), máquinas que faltam pré-requisitos, máquinas com pré-requisitos e total de máquinas elegíveis. A partir da mesma view você pode habilitar Machine Configuration em assinaturas selecionadas.
Isso muda a pergunta de "esta máquina está em compliance?" para "quais cantos do meu parque nem estão sendo avaliados?" – que geralmente é a lacuna mais grave.
Integração e Automação
As baselines continuam integradas aos seus pipelines de DevOps e workflows de configuration management. Cada baseline produz um catálogo declarativo (JSON) que pode ser versionado e implantado com Azure CLI, ARM templates, Bicep e automação CI/CD, garantindo configurações de compliance reproduzíveis e rastreáveis.
Disponibilidade
As baselines de segurança customizáveis já estão em GA em todas as regiões públicas do Azure, Azure Government e Sovereign Clouds.
Como Começar
Pré-requisitos
- Implemente a iniciativa de política de pré-requisitos do Azure Machine Configuration (instala a extensão Guest Configuration nas VMs suportadas).
- Sua assinatura ou management group deve conter VMs Windows ou Linux suportadas.
- Permissões de Owner ou Resource Policy Contributor para criar e atribuir definições de política customizadas.
Passo a Passo
- Verifique sua cobertura na página Overview para ver quais assinaturas estão desprotegidas e habilite-as com um clique.
- Selecione uma baseline na aba Definitions ou use Import and Modify para iterar sobre um JSON existente.
- Modifique as configurações para habilitar, excluir ou parametrizar regras.
- Atribua a política diretamente do assistente – sem upload de JSON.
- Itere quando necessário usando Edit Settings na aba Assignments.
- Revise os resultados de compliance no Azure Policy, Azure Resource Graph ou na página Guest Assignments.
Perguntas Frequentes
-
Quais benchmarks de segurança podem ser customizados?
Atualmente há suporte GA para CIS Benchmarks for Linux, Azure Compute Security Baseline for Windows (Server 2016/2019/2022/2025) e Linux. Em Public Preview está o CIS Benchmarks for Windows (cobertura inicial L1 para Domain Controller e Member Server). -
O fluxo de atribuição mudou?
Sim. Agora as configurações personalizadas são automaticamente populadas no fluxo de atribuição da política, eliminando a necessidade de baixar o JSON e reenviá-lo. Você pode pular essa etapa diretamente do assistente Modify Settings para Assign Policy. -
Posso editar um baseline já atribuído sem recriá-lo?
Sim. A aba Assignments agora permite editar as configurações de um assignment ativo in-place. Você pode refinar regras, ajustar valores específicos de função ou excluir controles sem derrubar e recriar a atribuição. -
O que a nova página Overview mostra?
A página Overview, em Policy > Machine Configuration, exibe por assinatura o status (At Risk, Not Enabled, Enabled), máquinas com/sem pré-requisitos e total de máquinas elegíveis. Permite habilitar Machine Configuration em uma ou várias assinaturas com um clique. -
Há custos adicionais para servidores Azure Arc?
Sim. O uso do Azure Machine Configuration em servidores habilitados para Azure Arc terá custo. A Microsoft não detalha valores no artigo, mas é um ponto de atenção para planejamento de FinOps em ambientes híbridos.
Artigo originalmente publicado por mutemwamasheke em Azure Updates - Latest from Azure Charts.
