Controlli di conformità alle normative di Criteri di Azure per il database SQL e Istanza gestita di SQL di Azure
Si applica a: 
Database SQL di Azure Istanza gestita di SQL di Azure
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per il database SQL e Istanza gestita di SQL di Azure. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
Australian Government ISM PROTECTED
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Australian Government ISM PROTECTED. Per altre informazioni su questo standard di conformità, vedere Australian Government ISM PROTECTED.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per i sistemi di database - Software del sistema di gestione di database | 1260 | Account amministratore di database - 1260 | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Linee guida per i sistemi di database - Software del sistema di gestione di database | 1261 | Account amministratore di database - 1261 | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Linee guida per i sistemi di database - Software del sistema di gestione di database | 1262 | Account amministratore di database - 1262 | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Linee guida per i sistemi di database - Software del sistema di gestione di database | 1263 | Account amministratore di database - 1263 | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Linee guida per i sistemi di database - Software del sistema di gestione di database | 1264 | Account amministratore di database - 1264 | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Linee guida per i sistemi di database - Server di database | 1425 | Protezione del contenuto dei server database - 1425 | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Linee guida per il monitoraggio dei sistemi - Registrazione e controllo degli eventi | 1537 | Eventi da registrare - 1537 | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Linee guida per il monitoraggio dei sistemi - Registrazione e controllo degli eventi | 1537 | Eventi da registrare - 1537 | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
Canada Federal PBMM
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Canada Federal PBMM. Per altre informazioni su questo standard di conformità, vedere Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 2 Centro sicurezza | 2.14 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora controllo SQL" non sia disabilitata | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 2 Centro sicurezza | 2.15 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia SQL" non sia disabilitata | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| 4 Servizi di database | 4.1 | Assicurarsi che "Controllo" sia impostato su "Attivato" | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 4 Servizi di database | 4.10 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con BYOK (Bring Your Own Key) | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| 4 Servizi di database | 4.10 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con BYOK (Bring Your Own Key) | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| 4 Servizi di database | 4.2 | Assicurarsi che "AuditActionGroups" nel criterio "controllo" per un server SQL sia impostato correttamente | Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | 1.0.0 |
| 4 Servizi di database | 4.3 | Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni" | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| 4 Servizi di database | 4.4 | Assicurarsi che "Sicurezza dei dati avanzata" in un server SQL sia impostata su "Attivata" | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| 4 Servizi di database | 4.4 | Assicurarsi che "Sicurezza dei dati avanzata" in un server SQL sia impostata su "Attivata" | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| 4 Servizi di database | 4.8 | Assicurarsi che l'amministratore di Azure Active Directory sia configurato | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| 4 Servizi di database | 4.9 | Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 4 Servizi di database | 4.1.1 | Assicurarsi che "Controllo" sia impostato su "Attivato" | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 4 Servizi di database | 4.1.2 | Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| 4 Servizi di database | 4.1.3 | Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni" | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| 4 Servizi di database | 4.2.1 | Assicurarsi che Advanced Threat Protection (ATP) in un server SQL sia impostato su "Abilitato" | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| 4 Servizi di database | 4.2.1 | Assicurarsi che Advanced Threat Protection (ATP) in un server SQL sia impostato su "Abilitato" | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| 4 Servizi di database | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 4 Servizi di database | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| 4 Servizi di database | 4.4 | Assicurarsi che l'amministratore di Azure Active Directory sia configurato | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| 4 Servizi di database | 4.5 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con chiave gestita dal cliente | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| 4 Servizi di database | 4.5 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con chiave gestita dal cliente | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 4 Servizi di database | 4.1.1 | Assicurarsi che "Controllo" sia impostato su "Attivato" | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 4 Servizi di database | 4.1.2 | Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| 4 Servizi di database | 4.1.3 | Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni" | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| 4 Servizi di database | 4.2.1 | Assicurarsi che Advanced Threat Protection (ATP) in un server SQL sia impostato su "Abilitato" | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| 4 Servizi di database | 4.2.1 | Assicurarsi che Advanced Threat Protection (ATP) in un server SQL sia impostato su "Abilitato" | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| 4 Servizi di database | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 4 Servizi di database | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| 4 Servizi di database | 4.5 | Assicurarsi che l'amministratore di Azure Active Directory sia configurato | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| 4 Servizi di database | 4.6 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con chiave gestita dal cliente | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| 4 Servizi di database | 4.6 | Assicurarsi che la protezione TDE di SQL Server sia crittografata con chiave gestita dal cliente | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per CIS v2.0.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 4.1 | 4.1.1 | Assicurarsi che "Controllo" sia impostato su "Attivato" | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 4.1 | 4.1.2 | Assicurarsi che nessun database SQL di Azure consenta l'ingresso da 0.0.0.0/0 (QUALSIASI IP) | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| 4.1 | 4.1.3 | Assicurarsi che la protezione Transparent Data Encryption (TDE) di SQL Server sia crittografata con chiave gestita dal cliente | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| 4.1 | 4.1.3 | Assicurarsi che la protezione Transparent Data Encryption (TDE) di SQL Server sia crittografata con chiave gestita dal cliente | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| 4.1 | 4.1.4 | Assicurarsi che l'amministratore di Azure Active Directory sia configurato per SQL Server | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| 4.1 | 4.1.5 | Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| 4.1 | 4.1.6 | Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni" | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| 4.2 | 4.2.1 | Assicurarsi che Microsoft Defender per SQL sia impostato su "On" per SQL Server critici | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| 4.2 | 4.2.1 | Assicurarsi che Microsoft Defender per SQL sia impostato su "On" per SQL Server critici | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| 4.2 | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 4.2 | 4.2.2 | Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| 4.2 | 4.2.3 | Assicurarsi che l'impostazione di Valutazione della vulnerabilità (VA) "Analisi ricorrenti periodiche" sia impostata su "on" per ogni SQL Server | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 4.2 | 4.2.4 | Verificare che l'impostazione di Valutazione della vulnerabilità (VA) "Invia report di analisi a" sia configurata per un SQL Server | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| 4.2 | 4.2.5 | Assicurarsi che l'impostazione di Valutazione della vulnerabilità (VA) "Invia anche notifiche tramite posta elettronica agli amministratori e ai proprietari delle sottoscrizioni" sia impostata per ogni SQL Server | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| 4.2 | 4.2.5 | Assicurarsi che l'impostazione di Valutazione della vulnerabilità (VA) "Invia anche notifiche tramite posta elettronica agli amministratori e ai proprietari delle sottoscrizioni" sia impostata per ogni SQL Server | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informativo a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informativi). | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici impiegati nei sistemi aziendali. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici impiegati nei sistemi aziendali. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Ripristino | RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | 2.0.0 |
| Ripristino | RE.3.139 | Eseguire regolarmente backup completi, esaustivi e resilienti dei dati come definiti dall'organizzazione. | Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | 2.0.0 |
| Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia con convalida FIPS quando viene usata per proteggere la riservatezza di CUI. | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia con convalida FIPS quando viene usata per proteggere la riservatezza di CUI. | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia con convalida FIPS quando viene usata per proteggere la riservatezza di CUI. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.181 | Separare le funzionalità utente dalla funzionalità di gestione del sistema. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Protezione del sistema e delle comunicazioni | SC.3.191 | Proteggere la riservatezza di CUI nello stato inattivo. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Protezione del sistema e delle comunicazioni | SC.3.191 | Proteggere la riservatezza di CUI nello stato inattivo. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Protezione del sistema e delle comunicazioni | SC.3.191 | Proteggere la riservatezza di CUI nello stato inattivo. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Integrità del sistema e delle informazioni | SI.2.216 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Integrità del sistema e delle informazioni | SI.2.216 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Integrità del sistema e delle informazioni | SI.2.217 | Identificare l'uso non autorizzato dei sistemi aziendali. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Integrità del sistema e delle informazioni | SI.2.217 | Identificare l'uso non autorizzato dei sistemi aziendali. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
HIPAA HITRUST 9.2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 03 Sicurezza dei supporti portatili | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 Gestione dei supporti | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| 03 Sicurezza dei supporti portatili | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Gestione dei supporti | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| 03 Sicurezza dei supporti portatili | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Gestione dei supporti | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| 07 Gestione della vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| 07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 07 Gestione della vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| 07 Gestione della vulnerabilità | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 07 Gestione della vulnerabilità | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| 07 Gestione della vulnerabilità | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Gestione delle vulnerabilità tecniche | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| 08 Protezione della rete | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Controllo di accesso alla rete | I server SQL devono usare un endpoint servizio di rete virtuale | 1.0.0 |
| 08 Protezione di rete | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Controllo di accesso alla rete | I server SQL devono usare un endpoint servizio di rete virtuale | 1.0.0 |
| 08 Protezione della rete DDoS | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Gestione della sicurezza di rete | I server SQL devono usare un endpoint servizio di rete virtuale | 1.0.0 |
| 08 Protezione di rete | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Controllo di accesso alla rete | I server SQL devono usare un endpoint servizio di rete virtuale | 1.0.0 |
| 12 Registrazione di controllo e monitoraggio | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Monitoraggio | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Backup delle informazioni | Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | 2.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Backup delle informazioni | Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | 2.0.0 |
IRS 1075 settembre 2016
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - IRS 1075 settembre 2016. Per altre informazioni su questo standard di conformità, vedere IRS 1075 settembre 2016.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | 9.3.1.2 | Gestione degli account (AC-2) | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Valutazione dei rischi | 9.3.14.3 | Analisi delle vulnerabilità (RA-5) | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | 9.3.14.3 | Analisi delle vulnerabilità (RA-5) | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | 9.3.14.3 | Analisi delle vulnerabilità (RA-5) | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Protezione del sistema e delle comunicazioni | 9.3.16.15 | Protezione delle informazioni inattive (SC-28) | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 9.3.16.15 | Protezione delle informazioni inattive (SC-28) | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Protezione del sistema e delle comunicazioni | 9.3.16.15 | Protezione delle informazioni inattive (SC-28) | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Integrità del sistema e delle informazioni | 9.3.17.2 | Correzione degli errori (SI-2) | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Integrità del sistema e delle informazioni | 9.3.17.4 | Monitoraggio dei sistemi informativi (SI-4) | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Integrità del sistema e delle informazioni | 9.3.17.4 | Monitoraggio dei sistemi informativi (SI-4) | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Consapevolezza e formazione | 9.3.3.11 | Generazione di controlli (AU-12) | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Consapevolezza e formazione | 9.3.3.11 | Generazione di controlli (AU-12) | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Consapevolezza e formazione | 9.3.3.11 | Generazione di controlli (AU-12) | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Consapevolezza e formazione | 9.3.3.5 | Risposta a errori di elaborazione di controllo (AU-5) | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Consapevolezza e formazione | 9.3.3.5 | Risposta a errori di elaborazione di controllo (AU-5) | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Consapevolezza e formazione | 9.3.3.5 | Risposta a errori di elaborazione di controllo (AU-5) | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
ISO 27001:2013
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - ISO 27001:2013. Per altre informazioni su questo standard di conformità, vedere ISO 27001:2013.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Crittografia | 10.1.1 | Criteri sull'uso dei controlli crittografici | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Operazioni di sicurezza | 12.4.1 | Registrazione eventi | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Operazioni di sicurezza | 12.4.3 | Log amministratore e operatore | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Operazioni di sicurezza | 12.4.4 | Sincronizzazione dell'orologio | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Operazioni di sicurezza | 12.6.1 | Gestione di vulnerabilità tecniche | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Gestione cespiti | 8.2.1 | Classificazione delle informazioni | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Controllo dell’accesso | 9.2.3 | Gestione dei diritti di accesso con privilegi | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
Criteri riservati di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza del cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | 1.0.0 |
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Gestione delle identità | IM-1 | Usare un sistema centralizzato di identità e autenticazione | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Gestione delle identità | IM-1 | Usare il sistema centralizzato di gestione identità e autenticazione | Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | 1.0.0 |
| Gestione delle identità | IM-1 | Usare il sistema centralizzato di gestione identità e autenticazione | Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | 1.2.0 |
| Gestione delle identità | IM-1 | Usare il sistema centralizzato di gestione identità e autenticazione | L’Istanza gestita di SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | 1.0.0 |
| Gestione delle identità | IM-1 | Usare il sistema centralizzato di gestione identità e autenticazione | Le Istanze gestite di SQL di Azure devono avere l'autenticazione solo Microsoft Entra abilitata | 1.2.0 |
| Gestione delle identità | IM-4 | Autenticare il server e i servizi | Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | 2.0.0 |
| Protezione dei dati | DP-2 | Monitorare anomalie e minacce destinate ai dati sensibili | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Protezione dei dati | DP-3 | Crittografare i dati sensibili in transito | Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | 2.0.0 |
| Protezione dei dati | DP-4 | Abilitare la crittografia dei dati inattivi per impostazione predefinita | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Protezione dei dati | DP-5 | Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| Protezione dei dati | DP-5 | Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-1 | Abilitare le funzionalità di rilevamento delle minacce | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-1 | Abilitare le funzionalità di rilevamento delle minacce | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Registrazione e rilevamento delle minacce | LT-2 | Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-2 | Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Registrazione e rilevamento delle minacce | LT-3 | Abilitare la registrazione per l'analisi della sicurezza | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Registrazione e rilevamento delle minacce | LT-6 | Configurare la conservazione dell'archiviazione dei log | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| Risposta all'incidente | IR-3 | Rilevamento e analisi: creazione di eventi imprevisti basati su avvisi di qualità elevata | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Risposta all'incidente | IR-3 | Rilevamento e analisi: creazione di eventi imprevisti basati su avvisi di qualità elevata | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Gestione del comportamento e delle vulnerabilità | PV-5 | Eseguire valutazioni delle vulnerabilità | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Gestione del comportamento e delle vulnerabilità | PV-5 | Eseguire valutazioni delle vulnerabilità | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Rimediare in modo rapido e automatico alle vulnerabilità del software | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Risposta all'incidente | AIR-5 | Rilevamento e analisi: assegnazione di priorità agli eventi imprevisti | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Risposta all'incidente | AIR-5 | Rilevamento e analisi: assegnazione di priorità agli eventi imprevisti | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Controllo dell’accesso | 3.1.13 | Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Controllo dell’accesso | 3.1.14 | Instradare l'accesso remoto tramite punti di controllo di accesso gestito. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Controllo dell’accesso | 3.1.2 | Limitare l'accesso di sistema ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentirlo come eccezione (nega tutto, consenti come eccezione). | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| Controllo e responsabilità | 3.3.4 | Avviso in caso di errore di un processo di registrazione di controllo. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | 3.3.4 | Avviso in caso di errore di un processo di registrazione di controllo. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Controllo e responsabilità | 3.3.5 | Correlare i processi di revisione, analisi e creazione di report dei record di controllo per l'indagine e la risposta a indicazioni di attività illecite, non autorizzate, sospette o insolite. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| Controllo e responsabilità | 3.3.5 | Correlare i processi di revisione, analisi e creazione di report dei record di controllo per l'indagine e la risposta a indicazioni di attività illecite, non autorizzate, sospette o insolite. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| Identificazione e autenticazione | 3.5.1 | Identificare gli utenti di sistema, i processi che operano per conto degli utenti e i dispositivi. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Identificazione e autenticazione | 3.5.5 | Impedire il riutilizzo degli identificatori per un periodo definito. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Identificazione e autenticazione | 3.5.6 | Disabilitare gli identificatori dopo un periodo di inattività definito. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con i manager/proprietari. | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | 2.0.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | 1.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| U.07.3 Separazione dei dati - Funzionalità di gestione | U.07.3 | U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| U.07.3 Separazione dei dati - Funzionalità di gestione | U.07.3 | U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | 2.0.1 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | 2.0.1 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | 1.0.2 |
| U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
PCI DSS 3.2.1
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere PCI DSS 3.2.1. Per altre informazioni su questo standard di conformità, vedere PCI DSS 3.2.1.
PCI DSS v4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per PCI DSS v4.0. Per altre informazioni su questo standard di conformità, vedere PCI DSS v4.0.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.2.2 | I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.3.3 | I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 03: Proteggere i dati dell'account archiviati | 3.3.3 | I dati di autenticazione sensibili non vengono archiviati dopo l'autorizzazione | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Requisito 03: Proteggere i dati dell'account archiviati | 3.5.1 | Il numero del conto primario (PAN) è protetto ovunque sia archiviato | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.2.4 | I software personalizzati e su misura vengono sviluppati in modo sicuro | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Requisito 07: limitare l'accesso ai componenti di sistema e ai dati di titolari di carte al personale autorizzato per motivi professionali | 7.3.1 | L'accesso ai componenti e ai dati di sistema viene gestito tramite uno o più sistemi di controllo di accesso | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Requisito 08: identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.4.1 | La Multi-Factor Authentication (MFA) viene implementata per proteggere l'accesso all'ambiente dei dati dei titolari di carte | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
Reserve Bank of India, framework IT per NBFC
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
SWIFT CSP-CSCF v2021
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Protezione dell'ambiente SWIFT | 1.1 | Protezione dell'ambiente SWIFT | Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | 1.1.0 |
| Protezione dell'ambiente SWIFT | 1.1 | Protezione dell'ambiente SWIFT | I server SQL devono usare un endpoint servizio di rete virtuale | 1.0.0 |
| Protezione dell'ambiente SWIFT | 1.2 | Controllo account con privilegi del sistema operativo | È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | 1.0.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Sicurezza interna del flusso di dati | Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | 2.0.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Sicurezza interna del flusso di dati | Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | 1.0.1 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | 2.0.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Riservatezza e integrità della sessione degli operatori | Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | 2.0.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Riservatezza e integrità della sessione degli operatori | Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | 1.0.1 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Analisi vulnerabilità | I risultati delle vulnerabilità devono essere risolti nei database SQL | 4.1.0 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Analisi vulnerabilità | La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | 1.0.1 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Analisi vulnerabilità | È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | 3.0.0 |
| Rilevare attività anomale a sistemi o record delle transazioni | 6.3 | Integrità database | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
| Rilevare attività anomale a sistemi o record delle transazioni | 6.3 | Integrità database | L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | 1.1.0 |
| Rilevare attività anomale a sistemi o record delle transazioni | 6.3 | Integrità database | I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | 3.0.0 |
| Rilevare attività anomale a sistemi o record delle transazioni | 6.3 | Integrità database | È consigliabile abilitare Transparent Data Encryption nei database SQL | 2.0.0 |
| Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrazione e monitoraggio | È consigliabile abilitare il controllo in SQL Server | 2.0.0 |
UK OFFICIAL e UK NHS
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - UK OFFICIAL e UK NHS. Per altre informazioni su questo standard di conformità, vedere UK OFFICIAL.
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.