Um módulo da Cloud Horizons
Deriva de guardrails do Azure,
com quem aprovou.
Diferença diária de Azure Policy, exceções, RBAC e tags, mais registos de exceções e pacotes de auditoria mensais.
GDPR · DORA · NIS2 · ISO 27001:2022
Guardrails · deriva e política de landing-zone, monitorizadas
Capacidades
O que fica registado no livro-razão.
-
Desvio da Azure Policy
Os coletores assistidos comparam atribuições e isenções com a última linha de base para que veja o que mudou, quando e em que âmbito.
-
Livro-razão de exceções
Cada desvio aceite tem um responsável, aprovador, data de validade e motivo registado — mapeado para CIS Azure e ISO 27001:2022 A.8.9.
-
Mapeamento do Defender for Cloud
As recomendações chegam com o nome do controlo que afetam, não um ID de recomendação bruto, além de sinalizadores de desvio da landing-zone.
-
Desvio de RBAC e etiquetas
As atribuições de funções e as alterações de etiquetas de recursos são comparadas diariamente por subscrição, para que o desvio de acessos e etiquetagem surja num só lugar.
-
Deteção de padrões de exposição
Os IPs públicos, contas de armazenamento voltadas para a Internet e acessos alargados ao Key Vault são sinalizados face à ISO 27001:2022 A.8.20.
-
Pacotes de auditoria mensais
As exportações assinadas ficam no Cloudflare R2 com URLs de download com tempo limitado — um ficheiro para o que sofreu desvios e quem aprovou.
No produto
Dentro do Guardrail Ledger.
Ecrãs do produto — dashboard e início de sessão.
Como funciona.
-
Ligue as suas subscrições
A configuração assistida do coletor concede acesso de leitura ao Azure Policy, isenções, RBAC e etiquetas. Nada é escrito de volta no seu ambiente.
-
O desvio é detetado e encaminhado
Cada análise compara o estado atual com a última linha de base. Novos desvios e descobertas do Defender mapeiam para controlos, e o resumo de desvios abre tickets ITSM.
-
Exceções e registos de auditoria são guardados
Os desvios aceites entram no livro de exceções com responsável, aprovador e prazo de validade. No final do mês, um pacote de auditoria assinado está pronto para o seu auditor.
Preços.
Incluído no Cloud Horizons Growth e Business. Coletores apenas de leitura — sem medição por recurso.
O Guardrail Ledger é disponibilizado como um módulo do Cloud Horizons — incluído nos planos Cloud Horizons Growth e Business, não vendido em separado. Ver preços do Cloud Horizons
Perguntas.
-
Onde são armazenados os dados do coletor?
Os resultados de análise e registos do livro apenas de leitura são processados em regiões da UE. Os pacotes de auditoria mensais são escritos no Cloudflare R2 com URLs de transferência assinados e com limite de tempo. Os coletores nunca escrevem de volta nas suas subscrições do Azure.
-
Como funciona o início de sessão?
O Guardrail Ledger utiliza Microsoft Entra SSO através do Spot Suite OIDC. A sua equipa inicia sessão com uma conta profissional e aterra no seu Ambiente de Cliente — sem uma base de dados de nomes de utilizador separada.
-
A que frameworks de conformidade é mapeado?
Os desvios e exceções são mapeados para CIS Azure Foundations, ISO 27001:2022, NIS2 Art. 21 e cláusulas de gestão de alterações DORA RTS. As recomendações do Defender e os desvios da landing zone incluem o nome do controlo, não apenas o ID do recurso Azure.
-
O que inclui o período experimental de 30 dias?
O Guardrail Ledger está incluído no Cloud Horizons Growth e Business — o período experimental de 30 dias nesses planos, sem cartão necessário, cobre a monitorização de desvios, o livro de exceções e os pacotes de auditoria mensais. O plano Starter não inclui módulos de governação.
Comece a acompanhar os desvios das guardrails.
Ligue as suas subscrições do Azure, registe exceções com aprovadores arquivados e entregue aos auditores um pacote mensal assinado.