Definizioni di iniziative predefinite di Criteri di Azure
Questa pagina è un indice delle definizioni di iniziative predefinite di Criteri di Azure.
Il nome di ogni iniziativa predefinita include un collegamento all'origine della definizione di iniziative nel repository di GitHub su Criteri di Azure. Le iniziative predefinite sono raggruppate in base alla proprietà categoria nei metadati. Per passare a una categoria specifica, usare Ctrl-F per la funzionalità di ricerca del browser.
Automanage
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Controllo della configurazione in base alle procedure consigliate per la gestione automatica | Le procedure consigliate per la gestione automatica dei computer assicurano che le risorse gestite vengano configurate in base allo stato desiderato, come definito nel profilo di configurazione assegnato. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Abilitare ChangeTracking e inventario per le macchine virtuali abilitate per Arc | Abilitare ChangeTracking e Inventario per le macchine virtuali abilitate per Arc. Accetta l'ID Regola di raccolta dei dati come parametro e richiede un'opzione per immettere i percorsi applicabili. | 6 | 1.0.0-preview |
[Anteprima]: Abilitare ChangeTracking e inventario per set di scalabilità di macchine virtuali | Abilitare ChangeTracking e Inventario per set di scalabilità di macchine virtuali. Accetta l'ID Regola di raccolta dei dati come parametro e richiede un'opzione per immettere le posizioni applicabili e l'identità assegnata dall'utente per l'agente di Monitoraggio di Azure. | 7 | 1.1.0-preview |
[Anteprima]: Abilitare ChangeTracking e inventario per macchine virtuali | Abilitare ChangeTracking e Inventario per macchine virtuali. Accetta l'ID Regola di raccolta dei dati come parametro e richiede un'opzione per immettere le posizioni applicabili e l'identità assegnata dall'utente per l'agente di Monitoraggio di Azure. | 7 | 1.1.0-preview |
Cosmos DB
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
Abilita il criterio per la velocità effettiva di Azure Cosmos DB | Abilita il controllo della velocità effettiva per le risorse Azure Cosmos DB nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta la velocità effettiva massima come parametro. Usare questo criterio per imporre il controllo della velocità effettiva tramite il provider di risorse. | 2 | 1.0.0 |
Generali
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
Consentire risorse Costo di utilizzo | Consentire la distribuzione delle risorse ad eccezione di MCPP, M365. | 2 | 1.0.0 |
Configurazione guest
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Distribuire i prerequisiti per abilitare i criteri di configurazione guest in macchine virtuali usando l'identità gestita assegnata dall'utente | Questa iniziativa aggiunge un'identità gestita assegnata dall'utente e distribuisce l'estensione Configurazione guest appropriata per la piattaforma alle macchine virtuali idonee per il monitoraggio da parte di criteri di Configurazione guest. Si tratta di un prerequisito per i criteri di Configurazione guest e deve essere assegnato all'ambito di assegnazione dei criteri prima di usare qualsiasi criterio di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | 3 | 1.0.0-preview |
[Anteprima]: I computer Windows devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | Questa iniziativa controlla i computer Windows con impostazioni non conformi alla baseline di sicurezza di calcolo di Azure. Per informazioni dettagliate, vedere https://aka.ms/gcpol | 29 | 2.0.1-preview |
Controlla i computer con impostazioni di sicurezza delle password non sicure | Questa iniziativa distribuisce i requisiti dei criteri e controlla i computer con impostazioni di sicurezza delle password non sicure. Per altre informazioni sui criteri di configurazione guest, vedere https://aka.ms/gcpol. | 9 | 1.1.0 |
Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) nel computer Windows (inclusi i prerequisiti) | Crea un'assegnazione di configurazione guest (inclusi i prerequisiti) per configurare la versione del protocollo sicura specificata (TLS 1.1 o TLS 1.2) nel computer Windows. Per informazioni dettagliate, vedere https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
Distribuisci i prerequisiti per abilitare i criteri di configurazione guest nelle macchine virtuali | Questa iniziativa aggiunge un'identità gestita assegnata dal sistema e distribuisce l'estensione Configurazione guest appropriata per la piattaforma alle macchine virtuali che sono idonee per il monitoraggio da parte dei criteri di Configurazione guest. Si tratta di un prerequisito per i criteri di Configurazione guest e deve essere assegnato all'ambito di assegnazione dei criteri prima di usare qualsiasi criterio di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Usare Integrità immagine per assicurarsi che vengano distribuite solo immagini attendibili | Usare Integrità immagine per garantire che i cluster del servizio Azure Kubernetes distribuiscano solo immagini attendibili; a questo scopo, abilitare l'integrità delle immagini e i componenti aggiuntivi criteri di Azure nei cluster del servizio Azure Kubernetes. I componenti aggiuntivi Integrità immagine e Criteri di Azure sono entrambi prerequisiti per l'uso di Integrità immagine per verificare se l'immagine sia firmata al momento della distribuzione. Per altre info, visitare https://aka.ms/aks/image-integrity | 3 | 1.1.0-preview |
[Anteprima]: Le misure di sicurezza della distribuzione devono aiutare gli sviluppatori a seguire le procedure consigliate per il servizio Azure Kubernetes | Raccolta di procedure consigliate per Kubernetes fornite dal servizio Azure Kubernetes. Per un'esperienza ottimale, usare le misure di sicurezza della distribuzione per assegnare questa iniziativa di politiche: https://aka.ms/aks/deployment-safeguards. Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes è un prerequisito per l'applicazione di queste procedure consigliate ai cluster. Per istruzioni sull'abilitazione del componente aggiuntivo Criteri di Azure, vedere aka.ms/akspolicydoc | 20 | 1.9.0-preview |
Standard baseline di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard baseline di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes (AKS) e in anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
Standard limitati di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard limitati di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes (AKS) e in anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identità gestita
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Le credenziali federate dell'identità gestita devono essere di tipi approvati da origini federate approvate | Controllare l'uso delle credenziali federate per identità gestite. Questa iniziativa include criteri per bloccare completamente le credenziali di identità federate, limitare l'uso a tipi di provider di federazione specifici e limitare le relazioni di federazione ad origini approvate. | 3 | 1.0.0-preview |
Monitoraggio
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Configurare Azure Defender per agenti SQL in macchine virtuali | Configurare macchine virtuali per installare automaticamente gli agenti di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (elementi consigliati). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Questo criterio si applica solo alle macchine virtuali in alcune aree. | 2 | 1.0.0-preview |
Configurare computer Linux per eseguire l'agente di Monitoraggio di Azure e associarlo a una regola di raccolta dati | Monitorare e proteggere le macchine virtuali Linux, i set di scalabilità di macchine virtuali e le macchine Arc distribuendo l'estensione Agente di Monitoraggio di Azure e associando i computer a una regola di raccolta dati specificata. La distribuzione verrà eseguita in computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco di immagini fornito) nelle aree supportate. | 4 | 3.2.0 |
Configurare computer Windows per eseguire l'agente di Monitoraggio di Azure e associarlo a una regola di raccolta dati | Monitorare e proteggere le macchine virtuali Windows, i set di scalabilità di macchine virtuali e le macchine Arc distribuendo l'estensione Agente di Monitoraggio di Azure e associando i computer a una regola di raccolta dati specificata. La distribuzione verrà eseguita in computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco di immagini fornito) nelle aree supportate. | 4 | 3.2.0 |
Distribuire l'agente di Monitoraggio di Azure Linux con autenticazione basata sull'identità gestita assegnata dall'utente e associarlo alla regola di raccolta dei dati | Monitorare le macchine virtuali Linux e i set di scalabilità di macchine virtuali distribuendo l'estensione agente di Monitoraggio di Azure con l'autenticazione dell'identità gestita assegnata dall'utente e associandola alla regola di raccolta dati specificata. La distribuzione dell'agente di Monitoraggio di Azure si verificherà in computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco di immagini fornito) nelle aree supportate. | 5 | 2.3.0 |
Distribuire l'agente di Monitoraggio di Azure Windows con l'autenticazione basata sull'identità gestita assegnata dall'utente e associarlo alla regola di raccolta dei dati | Monitorare le macchine virtuali Windows e i set di scalabilità di macchine virtuali distribuendo l'estensione agente di Monitoraggio di Azure con l'autenticazione dell'identità gestita assegnata dall'utente e associandola alla regola di raccolta dati specificata. La distribuzione dell'agente di Monitoraggio di Azure si verificherà in computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco di immagini fornito) nelle aree supportate. | 5 | 2.3.0 |
Abilitare la registrazione di risorse del gruppo di categorie allLogs per risorse supportate in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie allLogs per instradare i log all'hub eventi per tutte le risorse supportate. | 140 | 1.0.0 |
Abilitare la registrazione di risorse del gruppo di categorie allLogs per risorse supportate in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie allLogs per instradare i log a un Hub eventi per tutte le risorse supportate | 140 | 1.0.0 |
Abilitare la registrazione di risorse del gruppo di categorie allLogs per risorse supportate nell’archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie allLogs per instradare i log all’archiviazione per tutte le risorse supportate. | 140 | 1.0.0 |
Abilitare la registrazione di risorse del gruppo di categoria Audit per risorse supportate in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categoria Audit per instradare i log all'hub eventi per tutte le risorse supportate | 69 | 1.1.0 |
Abilitare la registrazione di risorse del gruppo di categoria Audit per risorse supportate in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categoria Audit per instradare i log a Log Analytics per tutte le risorse supportate. | 69 | 1.1.0 |
Abilitare la registrazione di risorse del gruppo di categoria Audit per risorse supportate nell’archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categoria Audit per instradare i log all’archiviazione per tutte le risorse supportate. | 69 | 1.1.0 |
Abilitare Monitoraggio di Azure per macchine virtuali ibride con AMA | Abilitare Monitoraggio di Azure per macchine virtuali ibride con AMA. | 6 | 1.0.0 |
Abilitare Monitoraggio di Azure per le macchine virtuali con l'agente di monitoraggio di Azure (AMA) | Abilitare Monitoraggio di Azure per macchine virtuali con AMA. | 7 | 1.2.0 |
Abilitare Monitoraggio di Azure per set di scalabilità di macchine virtuali con l'agente di monitoraggio di Azure (AMA) | Abilitare Monitoraggio di Azure per il set di scalabilità di macchine virtuali con AMA. | 7 | 1.2.0 |
Legacy: Abilitare Monitoraggio di Azure per set di scalabilità di macchine virtuali | Legacy: Abilitare Monitoraggio di Azure per set di scalabilità di macchine virtuali nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta l'area di lavoro Log Analytics come parametro. Usare la nuova iniziativa denominata: Abilitare Monitoraggio di Azure per set di scalabilità di macchine virtuali con l'agente di monitoraggio di Azure (AMA). Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | 6 | 1.0.2 |
Legacy: Abilitare Monitoraggio di Azure per le macchine virtuali | Legacy: Abilitare Monitoraggio di Azure per macchine virtuali (VM) nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta l'area di lavoro Log Analytics come parametro. Usare la nuova iniziativa denominata: Abilitare Monitoraggio di Azure per le macchine virtuali con l'agente di monitoraggio di Azure (AMA) | 10 | 2.0.1 |
Rete
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
I log dei flussi devono essere configurati e abilitati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se i log dei flussi siano configurati e se lo stato del log del flusso sia abilitato. Il log dei flussi consente di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | 2 | 1.0.0 |
Legame
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Baseline di sicurezza del cluster di calcolo Nexus | Questa iniziativa include criteri progettati per riflettere le aspettative della baseline di sicurezza dei cluster di calcolo Nexus. Garantisce che le configurazioni del cluster rispettino specifici controlli di sicurezza fondamentali per la gestione di un ambiente sicuro. | 13 | 1.0.0-preview |
Conformità alle normative
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Australian Government ISM PROTECTED | Questa iniziativa include criteri che rispondono a un subset di controlli Australian Government Information Security Manual (ISM). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/auism-initiative. | 45 | 8.6.0-preview |
[Anteprima]: CMMC 2.0 Livello 2 | Questa iniziativa include criteri che rispondono a un subset di procedure CMMC 2.0 di livello 2. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/cmmc2l2-initiative. | 234 | 2.15.0-preview |
[Anteprima]: Motion Picture Association of America (MPAA) | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli di sicurezza e linee guida per Motion Picture Association of America (MPAA). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/mpaa-init. | 33 | 4.4.0-preview |
[Anteprima]: Reserve Bank of India - IT Framework for Banks | Questa iniziativa include criteri mirati a un sottoinsieme di controlli IT Framework for Banks della Reserve Bank of India. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/rbiitfbanks-initiative. | 156 | 1.16.0-preview |
[Anteprima]: Reserve Bank of India - IT Framework for NBFC | Questa iniziativa include criteri mirati a un subset di controlli IT Framework for Non Banking Financial Companies (NBFC) della Reserve Bank of India. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/rbiitfnbfc-initiative. | 124 | 2.12.0-preview |
[Anteprima]: Baseline di sovranità - Criteri riservati | Microsoft Cloud for Sovereignty consiglia criteri riservati per aiutare le organizzazioni a raggiungere i propri obiettivi di sovranità, rifiutando per impostazione predefinita la creazione di risorse all'esterno delle aree approvate, rifiutando risorse non supportate dal computing riservato di Azure e rifiutando risorse di archiviazione dei dati che non usano chiavi gestite dal cliente. Altri dettagli sono disponibili qui: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.1-preview |
[Anteprima]: Baseline di sovranità - Criteri globali | Microsoft Cloud for Sovereignty consiglia criteri globali per aiutare le organizzazioni a raggiungere i propri obiettivi di sovranità, rifiutando per impostazione predefinita la creazione di risorse all'esterno delle aree approvate. Altri dettagli sono disponibili qui: https://aka.ms/SovereigntyBaselinePolicies | 5 | 1.1.0-preview |
[Anteprima]: SWIFT CSP-CSCF v2020 | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli SWIFT CSP-CSCF v2020. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/swift2020-init. | 52 | 6.4.0-preview |
[Anteprima]: SWIFT CSP-CSCF v2021 | Questa iniziativa include criteri mirati a un sottoinsieme dei controlli Customer Security Framework v2021 del programma SWIFT Customer Security Controls Framework v2021. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/swift2021-init. | 127 | 4.11.0-preview |
Certificazione ACAT per Microsoft 365 | Lo strumento di automazione della conformità delle app per Microsoft 365 (ACAT) semplifica il processo per ottenere la certificazione di Microsoft 365; vedere https://aka.ms/acat. Questa certificazione garantisce che le app dispongano di procedure avanzate di sicurezza e conformità per proteggere i dati, la sicurezza e la privacy dei clienti. Questa iniziativa include criteri mirati a un subset dei controlli di certificazione di Microsoft 365. Altri criteri verranno aggiunti nelle versioni successive. | 16 | 1.1.0 |
Canada Federal PBMM | Questa iniziativa include criteri mirati a un subset di controlli Canada Federal PBMM. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/canadafederalpbmm-init. | 49 | 8.5.0 |
CIS Microsoft Azure Foundations Benchmark v1.1.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per la cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri mirano a un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.1.0. Per altre informazioni, vedere https://aka.ms/cisazure110-initiative | 157 | 16.8.0 |
CIS Microsoft Azure Foundations Benchmark v1.3.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per la cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri mirano a un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.3.0. Per altre informazioni, vedere https://aka.ms/cisazure130-initiative | 173 | 8.11.0 |
CIS Microsoft Azure Foundations Benchmark v1.4.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per la cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri mirano a un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.4.0. Per altre informazioni, vedere https://aka.ms/cisazure140-initiative | 171 | 1.11.0 |
CIS Microsoft Azure Foundations Benchmark v2.0.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per la cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri mirano a un subset di controlli CIS Microsoft Azure Foundations Benchmark v2.0.0. Per altre informazioni, vedere https://aka.ms/cisazure200-initiative | 208 | 1.4.0 |
CMMC Livello 3 | Questa iniziativa include criteri che mirano a un subset di requisiti Cybersecurity Maturity Model Certification (CMMC) livello 3. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/cmmc-initiative. | 152 | 11.10.0 |
FedRAMP High | FedRAMP è un programma governativo degli Stati Uniti che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per prodotti e servizi basati sul cloud. FedRAMP definisce un set di controlli per sistemi a basso, moderato o alto livello di impatto sulla sicurezza in base ai controlli di base NIST. Questi criteri rispondono a un subset di controlli FedRAMP (High). Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 719 | 17.16.0 |
FedRAMP Moderate | FedRAMP è un programma governativo degli Stati Uniti che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per prodotti e servizi basati sul cloud. FedRAMP definisce un set di controlli per sistemi a basso, moderato o alto livello di impatto sulla sicurezza in base ai controlli di base NIST. Questi criteri rispondono a un subset di controlli FedRAMP (Moderate). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://www.fedramp.gov/documents-templates/ | 650 | 17.15.0 |
HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) consente alle organizzazioni di tutti i settori, ma soprattutto del settore della sanità, di gestire in modo efficace i dati, i rischi informativi e la conformità. La certificazione HITRUST indica che l'organizzazione ha subito una valutazione approfondita del programma di sicurezza delle informazioni. Questi criteri mirano a un subset di controlli HITRUST. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 600 | 14.7.0 |
IRS1075 September 2016 | Questa iniziativa include criteri che mirano a un subset di controlli IRS1075 September 2016. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/irs1075-init. | 52 | 8.5.0 |
ISO 27001:2013 | Lo standard International Organization for Standardization (ISO) 27001 fornisce i requisiti per stabilire, implementare, gestire e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS). Questi criteri sono mirati a un subset di controlli ISO 27001:2013. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/iso27001-init | 456 | 8.5.0 |
Nuova Zelanda ISM | NZISM v3.8. Il Manuale della sicurezza delle informazioni in Nuova Zelanda (NZISM) descrive i processi e i controlli essenziali per la protezione di tutti i sistemi e le informazioni del governo neozelandese. Questa iniziativa include criteri che rispondono a un subset di controlli NZISM. Altri criteri verranno aggiunti nelle versioni successive. Per informazioni dettagliate sui controlli, vedere https://www.nzism.gcsb.govt.nz/ism-document. Questo set di criteri include definizioni che hanno un effetto di Rifiuto per impostazione predefinita. | 217 | 1.5.0 |
NIST SP 800-171 Rev. 2 | Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e mantiene gli standard di misurazione e le linee guida per proteggere le informazioni e i sistemi informativi delle agenzie federali. In risposta all'ordine esecutivo 13556 sulla gestione delle informazioni non classificate controllate (CUI), ha pubblicato NIST SP 800-171. Questi criteri mirano a un subset di controlli NIST SP 800-171 Rev. 2. Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 449 | 15.15.0 |
NIST SP 800-53 Rev. 4 | Il National Institute of Standards and Technology (NIST) SP 800-53 R4 offre un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing per gestire i rischi di sicurezza delle informazioni. Questi criteri sono mirati a un subset di controlli NIST SP 800-53 R4. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/nist800-53r4-initiative | 720 | 17.15.0 |
NIST SP 800-53 Rev. 5 | Il National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 offre un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing per gestire i rischi di sicurezza delle informazioni. Questi criteri mirano a un subset di controlli NIST SP 800-53 R5. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/nist800-53r5-initiative | 705 | 14.15.0 |
NL BIO Cloud Theme | Questa iniziativa include criteri mirati ai controlli di baseline olandese Informatiebeveiliging (BIO) specificamente per "thema-uitwerking Clouddiensten" e includono criteri inclusi nei controlli SOC2 e ISO 27001:2013. | 242 | 1.9.0 |
PCI DSS v4 | Payment Card Industry (PCI) Data Security Standard (DSS) è uno standard di sicurezza delle informazioni globale progettato per evitare frodi tramite un maggiore controllo dei dati delle carte di credito. La conformità a PCI DSS è necessaria per qualsiasi organizzazione che archivi, elabori o trasmetta dati di pagamento e di titolari carta. Questi criteri sono mirati a un subset di controlli PCI-DSS v4. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 275 | 1.5.0 |
PCI v3.2.1:2018 | Questa iniziativa include criteri che mirano a un subset di controlli PCI v3.2.1:2018. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/pciv321-init. | 33 | 6.4.0 |
RMIT Malaysia | Questa iniziativa include criteri mirati a un subset di requisiti RMIT. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, visitare aka.ms/rmit-initiative. | 194 | 9.13.0 |
SOC 2 Type 2 | Sistema e controlli dell'organizzazione (SOC) 2 è un report basato sui principi e criteri del Trust Service stabiliti dall'American Institute of Certified Public Accountants (AICPA). Il report valuta il sistema informativo di un'organizzazione in base ai principi seguenti: sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy. Questi criteri sono mirati a un subset di controlli SOC 2 Type 2. Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 311 | 1.10.0 |
Spagna ENS | Questa iniziativa include criteri mirati a controlli National Security Scheme (ENS) specificamente per "CCN-STIC 884". Questo set di criteri include definizioni che hanno un effetto di Rifiuto per impostazione predefinita. | 864 | 1.4.0 |
SWIFT CSP-CSCF v2022 | Il programma Customer Security Program (CSP) di SWIFT aiuta le istituzioni finanziarie a garantire che le loro difese contro attacchi informatici siano aggiornate ed efficaci, per proteggere l'integrità della rete finanziaria su larga scala. Gli utenti confrontano le misure di sicurezza implementate con quelle illustrate in dettaglio in Customer Security Controls Framework (CSCF). Questi criteri sono mirati a un subset di controlli SWIFT. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 331 | 2.8.0 |
UK OFFICIAL and UK NHS | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli UK OFFICIAL and UK NHS. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/ukofficial-init e https://aka.ms/uknhs-init. | 49 | 9.5.0 |
Resilienza
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Le risorse devono essere resilienti per la zona | Alcuni tipi di risorse possono essere distribuiti con ridondanza della zona (ad esempio, database SQL); alcuni possono essere distribuiti con allineamento alla zona (ad esempio, macchine virtuali); e altri possono essere distribuiti con allineamento della zona o ridondanza della zona (ad esempio, set di scalabilità di macchine virtuali). L'allineamento della zona non garantisce resilienza, ma è la base su cui è possibile creare una soluzione resiliente (ad esempio, tre zone dei set di scalabilità di macchine virtuali allineate a tre diverse zone nella stessa area con un servizio di bilanciamento del carico). Per ulteriori informazioni, https://aka.ms/AZResilience vedere: | 34 | 1.10.0-preview |
Applicazioni
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
Controllare l’accesso alla rete pubblica | Controllare le risorse di Azure che consentono l'accesso da Internet pubblico | 35 | 4.2.0 |
Valutare l'utilizzo dei collegamenti privati in tutte le risorse di Azure supportate | Le risorse conformi hanno almeno una connessione endpoint privata approvata | 30 | 1.1.0 |
Centro sicurezza
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Distribuire l'agente di Microsoft Defender per endpoint | Distribuire l'agente di Microsoft Defender per endpoint in immagini applicabili. | 4 | 1.0.0-preview |
Configurare Advanced Threat Protection per l'abilitazione in database relazionali open source | Abilitare Advanced Threat Protection in database relazionali open source non Basic per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere a o sfruttare i database. Vedere https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Configurare Azure Defender per l'abilitazione in SQL Server e in istanze gestite di SQL | Abilitare Azure Defender nei server SQL e nelle istanze gestite di SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere a o sfruttare i database. | 3 | 3.0.0 |
Configurare i piani di Microsoft Defender per il cloud | Microsoft Defender per il cloud offre protezioni complete native del cloud dallo sviluppo al runtime in ambienti multi-cloud. Usare l'iniziativa di politiche per configurare i piani e le estensioni di Defender per il cloud da abilitare negli ambiti selezionati. | 11 | 1.0.0 |
Configurare Microsoft Defender per database da abilitare | Configurare Microsoft Defender per database per proteggere i database SQL di Azure, le istanze gestite, i database relazionali open source e Cosmos DB. | 4 | 1.0.0 |
Configurare più impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud | Configurare più impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION ecc.). Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | 3 | 1.0.0 |
Configurare macchine virtuali SQL e server SQL abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro LA | Microsoft Defender per SQL raccoglie eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (elementi consigliati). Crea un gruppo di risorse e una regola di raccolta dati e area di lavoro Log Analytics nella stessa area del computer. | 9 | 1.3.0 |
Configurare macchine virtuali SQL e server SQL abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro LA definita dall’utente | Microsoft Defender per SQL raccoglie eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (elementi consigliati). Crea un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | 8 | 1.2.0 |
Microsoft Cloud Security Benchmark | L'iniziativa di benchmark di sicurezza del cloud di Microsoft rappresenta i criteri e controlli che implementano gli elementi consigliati sulla di sicurezza definiti nel benchmark di sicurezza del cloud Microsoft; vedere https://aka.ms/azsecbm. Questa operazione funge anche da iniziativa di criteri predefinita di Microsoft Defender per il cloud. È possibile assegnare direttamente questa iniziativa o gestirne i criteri e i risultati di conformità all'interno di Microsoft Defender per il cloud. | 228 | 57.45.0 |
SQL
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
Il database SQL di Azure deve avere solo l'autenticazione con Microsoft Entra | Richiedere l'autenticazione solo con Microsoft Entra per il database SQL di Azure, disabilitando i metodi di autenticazione locali. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con ottimizzazioni di autenticazione moderne, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
L'istanza gestita di SQL di Azure deve avere l'autenticazione con solo Microsoft Entra | Richiedere l'autenticazione con solo Microsoft Entra per l’Istanza gestita di SQL di Azure, disabilitando i metodi di autenticazione locali. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con ottimizzazioni di autenticazione moderne, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
Synapse
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
Configurare le aree di lavoro di Synapse in modo che impostino le identità con solo Microsoft Entra per l'autenticazione | Richiedere e configurare l'autenticazione solo con Microsoft Entra per le aree di lavoro di Synapse, disabilitando i metodi di autenticazione locali. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con ottimizzazioni di autenticazione moderne, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
Le aree di lavoro di Synapse devono avere l'autenticazione con solo Microsoft Entra | Richiedere l'autenticazione solo con Microsoft Entra per le aree di lavoro di Synapse, disabilitando i metodi di autenticazione locali. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con ottimizzazioni di autenticazione moderne, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
Avvio attendibile
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[anteprima]: Configurare i prerequisiti per abilitare l'attestazione guest nelle macchine virtuali abilitate per l'avvio attendibile | Configurare le macchine virtuali abilitate per l'avvio attendibile perché installino automaticamente l'estensione Attestazione guest e abilitino l'identità gestita assegnata dal sistema per consentire al Centro sicurezza di Azure di attestare e monitorare proattivamente l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. Per altri dettagli, vedere il seguente link: https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
Nome | Descrizione | Criteri | Versione |
---|---|---|---|
[Anteprima]: Controllare l'uso del servizio Azure Kubernetes in un'enclave virtuale | Questa iniziativa distribuisce criteri di Azure per il servizio Azure Kubernetes garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
[Anteprima]: Controllare l'uso del servizio app in un'enclave virtuale | Questa iniziativa distribuisce criteri di Azure per il servizio app, garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
[Anteprima]: Controllare l'uso di Registro contenitori in un’enclave virtuale | Questa iniziativa distribuisce criteri di Azure per il registro contenitori, garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
[anteprima]: Controllare l'uso di CosmosDB in un'enclave virtuale | Questa iniziativa distribuisce criteri di Azure per CosmosDB garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
[Anteprima]: Controllare l'uso delle impostazioni di diagnostica per risorse specifiche in un’enclave virtuale | Questa iniziativa distribuisce criteri di Azure per garantire la configurazione di tipi di risorse specifici in enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
[Anteprima]: Controllare l'uso di Key Vault in un enclave virtuale | Questa iniziativa distribuisce criteri di Azure per Key Vault garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
[Anteprima]: Controllare l'uso di Microsoft SQL in un’enclave virtuale | Questa iniziativa distribuisce criteri di Azure per Microsoft SQL, garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
[Anteprima]: Controllare l'uso di PostgreSql in un’enclave virtuale | Questa iniziativa distribuisce criteri di Azure per PostgreSql garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
[Anteprima]: Controllare l'uso del bus di servizio in un'enclave virtuale | Questa iniziativa distribuisce criteri di Azure per il bus di servizio, garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
[Anteprima]: Controllare l'uso di account di archiviazione in un'enclave virtuale | Questa iniziativa distribuisce criteri di Azure per account di archiviazione garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente delimitata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.