Controlli di conformità alle normative di Criteri di Azure per Servizi di Azure AI
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Servizi di Azure AI. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso al sistema informatico ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza del cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | Le risorse di Servizi di Azure AI devono usare Collegamento privato di Azure | 1.0.0 |
| Gestione delle identità | IM-1 | Usare il sistema centralizzato di gestione identità e autenticazione | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Protezione dei dati | DP-5 | Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
| Registrazione e rilevamento delle minacce | LT-3 | Abilitare la registrazione per l'analisi della sicurezza | I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | 1.0.0 |
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Controllo dell’accesso | 3.1.13 | Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Controllo dell’accesso | 3.1.14 | Instradare l'accesso remoto tramite punti di controllo di accesso gestito. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Controllo dell’accesso | 3.1.2 | Limitare l'accesso di sistema ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| Identificazione e autenticazione | 3.5.1 | Identificare gli utenti di sistema, i processi che operano per conto degli utenti e i dispositivi. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Identificazione e autenticazione | 3.5.5 | Impedire il riutilizzo degli identificatori per un periodo definito. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| Identificazione e autenticazione | 3.5.6 | Disabilitare gli identificatori dopo un periodo di inattività definito. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | [Deprecato]: Servizi cognitivi deve usare un collegamento privato | 3.0.1-deprecated |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
| U.07.3 Separazione dei dati - Funzionalità di gestione | U.07.3 | U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | 1.1.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Difesa e gestione avanzata delle minacce in tempo reale | Difesa e gestione avanzata delle minacce in tempo reale-13.4 | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 | |
| Anti-phishing | Anti-Phishing-14.1 | Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete | 3.2.0 |
Controlli di sistema e organizzazione (SOC) 2
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i Controlli del sistema e dell’organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | 2.2.0 |
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.