Condividi tramite


Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2

L'articolo seguente definisce il mapping della definizione dell'iniziativa predefinita di conformità alle normative di Criteri di Azure ai domini di conformità e ai controlli di NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.

I mapping seguenti fanno riferimento ai controlli di NIST SP 800-171 R2. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Individuare e selezionare quindi la definizione dell'iniziativa predefinita di conformità alle normative NIST SP 800-171 Rev. 2.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

Controllo dell’accesso

Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi).

ID: NIST SP 800-171 R2 3.1.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Per le app del Servizio app il debug remoto deve essere disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
Controlla i computer Linux in cui sono presenti account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password AuditIfNotExists, Disabled 3.1.0
Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.2.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Definire i tipi di account del sistema informativo CMA_0121 - Definire i tipi di account del sistema informativo Manuale, Disabilitato 1.1.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Terminare (automaticamente) una sessione utente dopo una condizione definita.

ID: NIST SP 800-171 R2 3.1.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Terminare automaticamente la sessione utente CMA_C1054 - Terminare automaticamente la sessione utente Manuale, Disabilitato 1.1.0

Monitorare e controllare le sessioni di accesso remoto.

ID: NIST SP 800-171 R2 3.1.12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Per le app del Servizio app il debug remoto deve essere disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto.

ID: NIST SP 800-171 R2 3.1.13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Inviare agli utenti una notifica di accesso al sistema CMA_0382 - Inviare agli utenti una notifica di accesso al sistema Manuale, Disabilitato 1.1.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Instradare l'accesso remoto tramite punti di controllo di accesso gestito.

ID: NIST SP 800-171 R2 3.1.14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Indirizzare il traffico tramite i punti di accesso di rete gestita CMA_0484 - Indirizzare il traffico tramite i punti di accesso di rete gestita Manuale, Disabilitato 1.1.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza.

ID: NIST SP 800-171 R2 3.1.15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Autorizzare l'accesso remoto ai comandi con privilegi CMA_C1064 - Autorizzare l'accesso remoto ai comandi con privilegi Manuale, Disabilitato 1.1.0
Documentare le linee guida di accesso remoto CMA_0196 - Documentare le linee guida di accesso remoto Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi Manuale, Disabilitato 1.1.0
Fornire training sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0

Autorizzare l'accesso wireless prima di consentire tali connessioni

ID: NIST SP 800-171 R2 3.1.16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare e implementare le linee guida per l'accesso wireless CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0

Proteggere l'accesso wireless mediante autenticazione e crittografia

ID: NIST SP 800-171 R2 3.1.17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare e implementare le linee guida per l'accesso wireless CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0

Controllare la connessione dei dispositivi mobili.

ID: NIST SP 800-171 R2 3.1.18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire i requisiti per i dispositivi mobili CMA_0122 - Definire i requisiti per i dispositivi mobili Manuale, Disabilitato 1.1.0

Crittografare CUI nei dispositivi mobili e nelle piattaforme di mobile computing

ID: NIST SP 800-171 R2 3.1.19 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire i requisiti per i dispositivi mobili CMA_0122 - Definire i requisiti per i dispositivi mobili Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0

Limitare l'accesso di sistema ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire.

ID: NIST SP 800-171 R2 3.1.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Per le app del servizio app il debug remoto deve essere disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Imporre l'utilizzo appropriato di tutti gli account CMA_C1023 - Imporre l'utilizzo appropriato di tutti gli account Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Monitorare l'assegnazione di ruoli con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
Usare Privileged Identity Management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

Verificare e controllare/limitare le connessioni a e l'uso di sistemi esterni.

ID: NIST SP 800-171 R2 3.1.20 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire i termini e le condizioni per l'accesso alle risorse CMA_C1076 - Stabilire i termini e le condizioni per l'accesso alle risorse Manuale, Disabilitato 1.1.0
Stabilire i termini e le condizioni per l'elaborazione delle risorse CMA_C1077 - Stabilire i termini e le condizioni per l'elaborazione delle risorse Manuale, Disabilitato 1.1.0

Limitare l'uso di dispositivi di archiviazione portatili su sistemi esterni.

ID: NIST SP 800-171 R2 3.1.21 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei dispositivi di archiviazione portabili CMA_0083 - Controllare l'utilizzo dei dispositivi di archiviazione portabili Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Controllare i prodotti CUI pubblicati o elaborati in sistemi accessibili pubblicamente.

ID: NIST SP 800-171 R2 3.1.22 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Designare il personale autorizzato per pubblicare le informazioni accessibili pubblicamente CMA_C1083 - Designare il personale autorizzato per pubblicare le informazioni accessibili pubblicamente Manuale, Disabilitato 1.1.0
Esaminare il contenuto prima di pubblicare informazioni pubblicamente accessibili CMA_C1085 - Esaminare il contenuto prima di pubblicare informazioni pubblicamente accessibili Manuale, Disabilitato 1.1.0
Rivedere il contenuto accessibile pubblicamente per informazioni non pubbliche CMA_C1086 - Rivedere il contenuto accessibile pubblicamente per informazioni non pubbliche Manuale, Disabilitato 1.1.0
Formare il personale sulla divulgazione di informazioni non pubbliche CMA_C1084 - Formare il personale sulla divulgazione di informazioni non pubbliche Manuale, Disabilitato 1.1.0

Controllare il flusso di CUI in conformità alle autorizzazioni approvate.

ID: NIST SP 800-171 R2 3.1.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. AuditIfNotExists, Disabled 2.0.0
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.1.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Stabilire gli standard di configurazione del firewall e del router CMA_0272 - Stabilire gli standard di configurazione del firewall e del router Manuale, Disabilitato 1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte Manuale, Disabilitato 1.1.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Identificare e gestire gli scambi di informazioni downstream CMA_0298 - Identificare e gestire gli scambi di informazioni downstream Manuale, Disabilitato 1.1.0
Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza CMA_C1029 - Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione.

ID: NIST SP 800-171 R2 3.1.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. auditIfNotExists 2.0.0
Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. auditIfNotExists 2.0.0
Definire le autorizzazioni di accesso per supportare la separazione dei compiti CMA_0116 - Definire le autorizzazioni di accesso per supportare la separazione dei compiti Manuale, Disabilitato 1.1.0
Documentare la separazione dei compiti CMA_0204 - Documentare la separazione dei compiti Manuale, Disabilitato 1.1.0
Separare i compiti delle persone CMA_0492 - Separare i compiti delle persone Manuale, Disabilitato 1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. AuditIfNotExists, Disabled 3.0.0

Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati.

ID: NIST SP 800-171 R2 3.1.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0

Impedire agli utenti non privilegiati di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo.

ID: NIST SP 800-171 R2 3.1.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Eseguire un'analisi full-text dei comandi con privilegi registrati CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati Manuale, Disabilitato 1.1.0
Monitorare l'assegnazione di ruoli con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Usare Privileged Identity Management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0

Limitare i tentativi di accesso non riusciti.

ID: NIST SP 800-171 R2 3.1.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Imporre un limite di tentativi di accesso non riuscito consecutivi CMA_C1044 - Imporre un limite di tentativi di accesso non riuscito consecutivi Manuale, Disabilitato 1.1.0

Protezione fisica

Limitare l'accesso fisico a sistemi organizzativi, apparecchiature e i rispettivi ambienti operativi ai singoli utenti autorizzati.

ID: NIST SP 800-171 R2 3.10.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0

Proteggere e monitorare la struttura fisica e l'infrastruttura di supporto per i sistemi organizzativi.

ID: NIST SP 800-171 R2 3.10.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Installare un sistema di allarme CMA_0338 - Installare un sistema di allarme Manuale, Disabilitato 1.1.0
Gestire un sistema di videocamere di sorveglianza sicuro CMA_0354 - Gestire un sistema di videocamere di sorveglianza sicuro Manuale, Disabilitato 1.1.0

Accompagnare i visitatori e monitorarne l'attività.

ID: NIST SP 800-171 R2 3.10.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette Manuale, Disabilitato 1.1.0

Gestire i log di controllo degli accessi fisico.

ID: NIST SP 800-171 R2 3.10.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0

Controllare e gestire i dispositivi di accesso fisico.

ID: NIST SP 800-171 R2 3.10.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Stabilire e gestire un inventario degli asset CMA_0266 - Stabilire e gestire un inventario degli asset Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette Manuale, Disabilitato 1.1.0

Applicare misure di sicurezza per CUI nei siti di lavoro alternativi.

ID: NIST SP 800-171 R2 3.10.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare i controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi Manuale, Disabilitato 1.1.0

Valutazione dei rischi

Valutare periodicamente il rischio per le operazioni dell'organizzazione, i beni dell'organizzazione e gli utenti, derivanti dal funzionamento dei sistemi dell'organizzazione e dall'elaborazione, archiviazione o trasmissione di CUI

ID: NIST SP 800-171 R2 3.11.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare i rischi nelle relazioni con terze parti CMA_0014 - Valutare i rischi nelle relazioni con terze parti Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0

Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.

ID: NIST SP 800-171 R2 3.11.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità CMA_C1555 - Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I risultati delle vulnerabilità devono essere risolti nei database SQL Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.1.0
I risultati delle vulnerabilità devono essere risolti nei server SQL Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. AuditIfNotExists, Disabled 1.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 3.0.0
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro Synapse Consente di individuare, tenere traccia e correggere potenziali vulnerabilità configurando analisi di valutazione delle vulnerabilità SQL ricorrenti nelle aree di lavoro Synapse. AuditIfNotExists, Disabled 1.0.0

Correggere le vulnerabilità in conformità alla valutazione del rischio.

ID: NIST SP 800-171 R2 3.11.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I risultati delle vulnerabilità devono essere risolti nei database SQL Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.1.0
I risultati delle vulnerabilità devono essere risolti nei server SQL Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. AuditIfNotExists, Disabled 1.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 3.0.0
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro Synapse Consente di individuare, tenere traccia e correggere potenziali vulnerabilità configurando analisi di valutazione delle vulnerabilità SQL ricorrenti nelle aree di lavoro Synapse. AuditIfNotExists, Disabled 1.0.0

Valutazione della sicurezza

Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione.

ID: NIST SP 800-171 R2 3.12.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare i controlli di sicurezza CMA_C1145 - Valutare i controlli di sicurezza Manuale, Disabilitato 1.1.0
Recapitare i risultati della valutazione della sicurezza CMA_C1147 - Recapitare i risultati della valutazione della sicurezza Manuale, Disabilitato 1.1.0
Sviluppare un piano di valutazione della sicurezza CMA_C1144 - Sviluppare un piano di valutazione della sicurezza Manuale, Disabilitato 1.1.0
Generare il report di valutazione della sicurezza CMA_C1146 - Generare il report di valutazione della sicurezza Manuale, Disabilitato 1.1.0

Sviluppare e implementare piani di azione progettati per correggere problemi e ridurre o eliminare vulnerabilità nei sistemi organizzativi.

ID: NIST SP 800-171 R2 3.12.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare POA&M CMA_C1156 - Sviluppare POA&M Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Definire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Implementare i piani di azione e le attività cardine per il processo del programma di sicurezza CMA_C1737 - Implementare i piani di azione e le attività cardine per il processo del programma di sicurezza Manuale, Disabilitato 1.1.0
Aggiornare elementi POA&M CMA_C1157 - Aggiornare gli elementi POA&M Manuale, Disabilitato 1.1.0

Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli.

ID: NIST SP 800-171 R2 3.12.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare l'elenco elementi consentiti per il rilevamento CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento Manuale, Disabilitato 1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0
Sottoporsi a una revisione indipendente della sicurezza CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza Manuale, Disabilitato 1.1.0

Sviluppare, documentare e aggiornare periodicamente piani di sicurezza di sistema che descrivono i limiti di sistema, gli ambienti operativi di sistema, la modalità di implementazione dei requisiti di sicurezza e le relazioni con o le connessioni ad altri sistemi.

ID: NIST SP 800-171 R2 3.12.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare e definire un piano di sicurezza del sistema CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di sicurezza delle informazioni CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Sviluppare fornitori di servizi condivisi che soddisfano i criteri CMA_C1492 - Sviluppare fornitori di servizi condivisi che soddisfano i criteri Manuale, Disabilitato 1.1.0
Stabilire un programma per la privacy CMA_0257 - Stabilire un programma per la privacy Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi Manuale, Disabilitato 1.1.0
Implementare i principi di ingegneria della sicurezza dei sistemi informativi CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi Manuale, Disabilitato 1.1.0
Aggiornare i criteri di sicurezza delle informazioni CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni Manuale, Disabilitato 1.1.0

Protezione del sistema e delle comunicazioni

Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali.

ID: NIST SP 800-171 R2 3.13.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.1.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali.

ID: NIST SP 800-171 R2 3.13.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Gli insiemi di credenziali dei servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Anteprima]: I dati del servizio Device Provisioning in hub IoT devono essere crittografati con chiavi gestite dal cliente) Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio device provisioning in hub IoT. I dati vengono automaticamente crittografati a riposo con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile. Audit, Deny, Disabled 2.2.0
L'account API di Azure per FHIR deve usare una chiave gestita dal cliente per la crittografia dei dati inattivi Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in API di Azure per FHIR quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. audit, Audit, disabled, Disabled 1.1.0
Gli account di Automazione di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia a riposo degli account di automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Il gruppo di contenitori dell'istanza contenitori di Azure deve usare la chiave gestita dal cliente per la crittografia Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. Audit, Disabled, Deny 1.0.0
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. Audit, Deny, Disabled 1.0.0
La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. Audit, Deny, Disabled 1.0.0
I data factory di Azure devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia a riposo di Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
I cluster di Azure HDInsight devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare chiavi gestite dal cliente per gestire la crittografia a riposo dei cluster Azure HDInsight. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
I cluster di Azure HDInsight devono usare la crittografia a livello di host per la crittografia dei dati inattivi L'abilitazione della crittografia sull'host aiuta a proteggere e salvaguardare i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio di archiviazione. Audit, Deny, Disabled 1.0.0
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente Gestire la crittografia inattiva dei dati dello spazio di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
I cluster dei log di Monitoraggio di Azure devono essere crittografati con una chiave gestita dal cliente Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. Audit, Deny, Disabled 1.0.0
Il servizio Bot deve essere crittografato con una chiave gestita dal cliente Il servizio Azure Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia del servizio Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. Audit, Deny, Disabled 1.0.1
I registri del contenitore devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Gli spazi dei nomi dell'hub eventi devono usare una chiave gestita dal cliente per la crittografia Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. Audit, Disabled 1.0.0
Gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Audit, Disabled, Deny 2.0.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
L'ambiente del servizio di integrazione delle App per la logica deve essere crittografato con chiavi gestite dal cliente Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Audit, Deny, Disabled 1.0.0
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire le chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
I server MySQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
Il sistema operativo e i dischi dati devono essere crittografati con una chiave gestita dal cliente Utilizzare le chiavi gestite dal cliente per gestire la crittografia a riposo del contenuto dei dischi gestiti. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Gli spazi dei nomi Premium del bus di servizio devono usare una chiave gestita dal cliente per la crittografia Il bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che il bus di servizio userà per crittografare i dati nello spazio dei nomi. Si noti che il bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. Audit, Disabled 1.0.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.1
Gli ambiti della crittografia dell'account di archiviazione devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. Audit, Disabled 1.0.3

Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI.

ID: NIST SP 800-171 R2 3.13.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0

Impedire l'attivazione remota di dispositivi per il calcolo collaborativo e fornire agli utenti l'indicazione dei dispositivi in uso

ID: NIST SP 800-171 R2 3.13.12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Notifica in modo esplicito l'utilizzo di dispositivi di elaborazione collaborativi CMA_C1649 - Notifica in modo esplicito l'utilizzo di dispositivi di elaborazione collaborativi Manuale, Disabilitato 1.1.1
Impedire l'attivazione remota dei dispositivi di elaborazione collaborativi CMA_C1648 - Impedire l'attivazione remota dei dispositivi di elaborazione collaborativi Manuale, Disabilitato 1.1.0

Controllare e monitorare l'uso di codice mobile.

ID: NIST SP 800-171 R2 3.13.13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice mobile CMA_C1653 - Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice mobile Manuale, Disabilitato 1.1.0
Definire tecnologie di codice mobile accettabili e non accettabili CMA_C1651 - Definire tecnologie di codice mobile accettabili e non accettabili Manuale, Disabilitato 1.1.0
Stabilire le restrizioni di utilizzo per le tecnologie di codice mobile CMA_C1652 - Stabilire le restrizioni di utilizzo per le tecnologie di codice mobile Manuale, Disabilitato 1.1.0

Controllare e monitorare l'uso delle tecnologie VoIP (Voice over Internet Protocol).

ID: NIST SP 800-171 R2 3.13.14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare il sistema VoIP CMA_0025 - Autorizzare, monitorare e controllare il sistema VoIP Manuale, Disabilitato 1.1.0
Stabilire le restrizioni per l'utilizzo del sistema VoIP CMA_0280 - Stabilire restrizioni per l'utilizzo di VoIP Manuale, Disabilitato 1.1.0

Proteggere l'autenticità delle sessioni di comunicazione.

ID: NIST SP 800-171 R2 3.13.15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Imporre identificatori di sessione univoci casuali CMA_0247 - Imporre identificatori di sessione univoci casuali Manuale, Disabilitato 1.1.0

Proteggere la riservatezza di CUI nello stato inattivo.

ID: NIST SP 800-171 R2 3.13.16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
L'ambiente del servizio app deve avere la crittografia interna abilitata L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. Audit, Deny, Disabled 1.0.0
I cluster dei log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I dispositivi Azure Stack Edge devono usare la doppia crittografia Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia BitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
La crittografia dei dischi deve essere abilitata in Esplora dati di Azure L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Audit, Deny, Disabled 2.0.0
La crittografia doppia deve essere abilitata in Esplora dati di Azure L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. Audit, Deny, Disabled 2.0.0
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. Audit, Deny, Disabled 1.0.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 Audit, Deny, Disabled 1.0.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente Audit, Deny, Disabled 1.1.0
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. Audit, Deny, Disabled 1.0.0
È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes Per migliorare la sicurezza dei dati, i dati archiviati nell'host di macchine virtuali (VM) dei nodi del servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. Audit, Deny, Disabled 1.0.1
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali.

ID: NIST SP 800-171 R2 3.13.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.1.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Separare le funzionalità degli utenti dalle funzionalità di gestione del sistema.

ID: NIST SP 800-171 R2 3.13.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Separare le funzionalità degli utenti da quelle di gestione del sistema informativo CMA_0493 - Separare le funzionalità degli utenti da quelle di gestione del sistema informativo Manuale, Disabilitato 1.1.0
Usare computer dedicati per le attività amministrative CMA_0527 - Usare computer dedicati per le attività amministrative Manuale, Disabilitato 1.1.0

Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne.

ID: NIST SP 800-171 R2 3.13.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: I servizi di Ricerca cognitiva di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Deprecato]: Servizi cognitivi deve usare un collegamento privato Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
La cache di Azure per Redis deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.1.0
Azure Data Factory usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare collegamenti privati La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Le istanze di Azure Key Vault devono usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Gli spazi dei nomi del bus di servizio devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Il servizio Web PubSub di Azure deve usare collegamenti privati Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account Cosmos DB devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Gli account di archiviazione devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione).

ID: NIST SP 800-171 R2 3.13.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di Azure AI devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.1.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Impedire ai dispositivi remoti di stabilire contemporaneamente connessioni non remote con i sistemi dell'organizzazione e comunicare tramite altre connessioni a risorse di reti esterne, ad esempio routing diviso.

ID: NIST SP 800-171 R2 3.13.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impedire lo split tunneling per dispositivi remoti CMA_C1632 - Impedire lo split tunneling per dispositivi remoti Manuale, Disabilitato 1.1.0

Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative.

ID: NIST SP 800-171 R2 3.13.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Il Servizio app deve essere accessibile solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 4.0.0
Le app del servizio app devono richiedere solo FTPS Abilitare imposizione FTPS per la protezione avanzata. AuditIfNotExists, Disabled 3.0.0
Le app del servizio app devono usare la versione TLS più recente Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.1.0
I cluster di Azure HDInsight devono usare la crittografia dei dati in transito per crittografare le comunicazioni tra i nodi del cluster di Azure HDInsight I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. Audit, Deny, Disabled 1.0.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Le app per le funzioni devono essere accessibili solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 5.0.0
Le app per le funzioni devono richiedere solo FTPS Abilitare imposizione FTPS per la protezione avanzata. AuditIfNotExists, Disabled 3.0.0
Le app per le funzioni devono usare la versione TLS più recente Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.1.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc audit, Audit, Deny, Deny, disabled, Disabled 8.2.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 1.0.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

Terminare connessioni di rete associate a sessioni di comunicazione alla fine delle sessioni o dopo un periodo definito di inattività.

ID: NIST SP 800-171 R2 3.13.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rieseguire l’autenticazione o terminare una sessione utente CMA_0421 - Rieseguire l'autenticazione o terminare una sessione utente Manuale, Disabilitato 1.1.0

Integrità del sistema e delle informazioni

Identificare, segnalare e correggere gli errori di sistema in modo tempestivo.

ID: NIST SP 800-171 R2 3.14.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Le app del servizio app devono usare la “versione HTTP” più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Le app per le funzioni devono usare la versione più recente di HTTP Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Integrare la correzione dei difetti nella gestione della configurazione CMA_C1671 - Integrare la correzione dei difetti nella gestione della configurazione Manuale, Disabilitato 1.1.0
I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ Audit, Disabled 1.0.2
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I risultati delle vulnerabilità devono essere risolti nei database SQL Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.1.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali.

ID: NIST SP 800-171 R2 3.14.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. AuditIfNotExists, Disabled 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Esaminare lo stato della protezione dalla minacce ogni settimana CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Monitorare gli avvisi e gli avvisi di sicurezza di sistema e intervenire come reazione.

ID: NIST SP 800-171 R2 3.14.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Trasmettere avvisi di sicurezza al personale CMA_C1705 - Trasmettere avvisi di sicurezza al personale Manuale, Disabilitato 1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.2.0
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.1.0
Stabilire un programma di intelligence sulle minacce CMA_0260 - Stabilire un programma di intelligence sulle minacce Manuale, Disabilitato 1.1.0
Implementare le direttive di sicurezza CMA_C1706 - Implementare le direttive di sicurezza Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci.

ID: NIST SP 800-171 R2 3.14.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. AuditIfNotExists, Disabled 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti.

ID: NIST SP 800-171 R2 3.14.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. AuditIfNotExists, Disabled 1.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi.

ID: NIST SP 800-171 R2 3.14.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-anteprima
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Rilevare i servizi di rete non autorizzati o approvati CMA_C1700: rilevare i servizi di rete non autorizzati o approvati Manuale, Disabilitato 1.1.0
Individuare indicatori di compromissione CMA_C1702 - Individuare indicatori di compromissione Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.2.0
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.1.0
L'estensione Configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Identificare l'uso non autorizzato dei sistemi organizzativi.

ID: NIST SP 800-171 R2 3.14.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-anteprima
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
L'estensione Configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Consapevolezza e formazione

ID: NIST SP 800-171 R2 3.2.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Erogare formazione periodica di sensibilizzazione sulla sicurezza CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza Manuale, Disabilitato 1.1.0
Erogare la formazione sulla sicurezza per i nuovi utenti CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti Manuale, Disabilitato 1.1.0

ID: NIST SP 800-171 R2 3.2.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Erogare formazione periodica sulla sicurezza basata sui ruoli CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Fornire la formazione sulla sicurezza prima di concedere l'accesso CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso Manuale, Disabilitato 1.1.0

Fornire corsi di training sul riconoscimento e sulla segnalazione di potenziali indicatori delle minacce interne.

ID: NIST SP 800-171 R2 3.2.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare un programma per le minacce interne CMA_C1751 - Implementare un programma per le minacce interne Manuale, Disabilitato 1.1.0
Fornire training sulla sicurezza per le minacce interne CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne Manuale, Disabilitato 1.1.0

Controllo e responsabilità

Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate

ID: NIST SP 800-171 R2 3.3.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-anteprima
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
I log delle risorse devono essere abilitati per le app del Servizio app Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Configurare le funzionalità di audit di Azure CMA_C1108 - Configurare le funzionalità di audit di Azure Manuale, Disabilitato 1.1.1
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e i report di controllo CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo Manuale, Disabilitato 1.1.0
L'estensione Configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Integrare revisione, analisi e report di controllo CMA_0339 - Integrare la revisione, l'analisi e il report di controllo Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con un sistema SIEM CMA_0340 - Integrare Cloud App Security con un sistema SIEM Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
I log delle risorse devono essere abilitati in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in Data Lake Analytics Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nell'hub eventi Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nell'hub IoT Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
I log delle risorse devono essere abilitati in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in App per la logica Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse devono essere abilitati nei servizi di ricerca Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nel bus di servizio Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
Mantenere criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati degli utenti terminati CMA_0455 - Conservare i dati degli utenti terminati Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning account CMA_0460 - Esaminare i log di provisioning account Manuale, Disabilitato 1.1.0
Rivedere le assegnazioni degli amministratori ogni settimana CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sulle identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare le attività relative a file e cartelle CMA_0473 - Esaminare le attività relative a file e cartelle Manuale, Disabilitato 1.1.0
Rivedere le modifiche del gruppo di ruoli ogni settimana CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0
I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 3.0.0
L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
Le macchine virtuali devono essere connesse a un'area di lavoro specificata Segnala le macchine virtuali come non conformi se non si connettono all'area di lavoro Log Analytics specificata nell'assegnazione dei criteri o dell'iniziativa. AuditIfNotExists, Disabled 1.1.0
Le macchine virtuali devono avere installato l'estensione di Log Analytics Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni.

ID: NIST SP 800-171 R2 3.3.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-anteprima
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
I log delle risorse devono essere abilitati per le app del servizio app Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la firma elettronica e i certificati CMA_0271 - Stabilire i requisiti per la firma elettronica e i certificati Manuale, Disabilitato 1.1.0
L'estensione Configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
I log delle risorse devono essere abilitati in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in Data Lake Analytics Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nell'hub eventi Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nell'hub IoT Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
I log delle risorse devono essere abilitati in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in App per la logica Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse devono essere abilitati nei servizi di ricerca Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nel bus di servizio Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 3.0.0
L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
Le macchine virtuali devono essere connesse a un'area di lavoro specificata Segnala le macchine virtuali come non conformi se non si connettono all'area di lavoro Log Analytics specificata nell'assegnazione dei criteri o dell'iniziativa. AuditIfNotExists, Disabled 1.1.0
Le macchine virtuali devono avere installato l'estensione di Log Analytics Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Esaminare e aggiornare gli eventi registrati.

ID: NIST SP 800-171 R2 3.3.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rivedere e aggiornare gli eventi definiti in AU-02 CMA_C1106 - Rivedere e aggiornare gli eventi definiti in AU-02 Manuale, Disabilitato 1.1.0

Avviso in caso di errore di un processo di registrazione di controllo.

ID: NIST SP 800-171 R2 3.3.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Fornire avvisi in tempo reale per errori relativi a eventi di controllo CMA_C1114 - Fornire avvisi in tempo reale per errori relativi a eventi di controllo Manuale, Disabilitato 1.1.0

Correlare i processi di revisione, analisi e creazione di report dei record di controllo per l'indagine e la risposta a indicazioni di attività illecite, non autorizzate, sospette o insolite.

ID: NIST SP 800-171 R2 3.3.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Defender di Azure per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Integrare l'analisi dei record di controllo CMA_C1120 - Integrare l'analisi dei record di controllo Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con un sistema SIEM CMA_0340 - Integrare Cloud App Security con un sistema SIEM Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0

Fornire riduzione dei record di controllo e generazione dei report per supportare l'analisi su richiesta e la creazione di report.

ID: NIST SP 800-171 R2 3.3.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Compilare i record di audit nel controllo a livello di sistema CMA_C1140 - Compilare i record di audit nel controllo a livello di sistema Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Fornire la funzionalità di revisione, analisi e creazione di report di audit CMA_C1124 - Fornire la funzionalità di revisione, analisi e creazione di report di controllo Manuale, Disabilitato 1.1.0
Fornire capacità per elaborare i record di audit controllati dal cliente CMA_C1126 - Fornire capacità per elaborare i record di controllo controllati dal cliente Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0

Fornire una funzionalità di sistema che confronta e sincronizza gli orologi di sistema interni con un'origine autorevole per generare indicatori di data e ora per i record di audit

ID: NIST SP 800-171 R2 3.3.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usa orologi di sistema per i record di audit CMA_0535 - Utilizzare orologi di sistema per i record di audit Manuale, Disabilitato 1.1.0

Proteggere le informazioni di audit e gli strumenti di registrazione di controllo dall'accesso, la modifica e l'eliminazione non autorizzate.

ID: NIST SP 800-171 R2 3.3.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Abilitare l'autorizzazione doppia o congiunta CMA_0226 - Abilitare l'autorizzazione doppia o congiunta Manuale, Disabilitato 1.1.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Mantenere l'integrità del sistema di controllo CMA_C1133: mantenere l'integrità del sistema di controllo Manuale, Disabilitato 1.1.0
Proteggere le informazioni di audit CMA_0401 - Proteggere le informazioni di audit Manuale, Disabilitato 1.1.0

Limitare la gestione della funzionalità di registrazione di controllo a un sottoinsieme di utenti privilegiati.

ID: NIST SP 800-171 R2 3.3.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Proteggere le informazioni di audit CMA_0401 - Proteggere le informazioni di audit Manuale, Disabilitato 1.1.0

Gestione della configurazione

Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema.

ID: NIST SP 800-171 R2 3.4.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. Audit, Disabled 3.1.0-deprecated
Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. AuditIfNotExists, Disabled 1.0.0
Per le app del servizio app il debug remoto deve essere disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. AuditIfNotExists, Disabled 2.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. Audit, Disabled 1.0.2
Configurare le azioni per i dispositivi non conformi CMA_0062: configurare le azioni per i dispositivi non conformi Manuale, Disabilitato 1.1.0
Creare un inventario dati CMA_0096 - Creare un inventario dati Manuale, Disabilitato 1.1.0
Sviluppare e gestire le configurazioni di base CMA_0153 - Sviluppare e gestire le configurazioni di base Manuale, Disabilitato 1.1.0
Imporre le impostazioni della configurazione della sicurezza CMA_0249 - Imporre le impostazioni della configurazione della sicurezza Manuale, Disabilitato 1.1.0
Stabilire un comitato di controllo della configurazione CMA_0254: stabilire un comitato di controllo della configurazione Manuale, Disabilitato 1.1.0
Definire e documentare un piano di gestione della configurazione CMA_0264 - Definire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Stabilire e gestire un inventario degli asset CMA_0266 - Stabilire e gestire un inventario degli asset Manuale, Disabilitato 1.1.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. AuditIfNotExists, Disabled 2.0.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.3.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 5.2.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.3.0
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.3.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 8.2.0
Il cluster Kubernetes non deve consentire contenitori con privilegi Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.2.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 7.2.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.2.0
Gestire i record dell'elaborazione dei dati personali CMA_0353 - Gestire i record dell'elaborazione dei dati personali Manuale, Disabilitato 1.1.0
Mantenere le versioni precedenti delle configurazioni di base CMA_C1181 - Mantenere le versioni precedenti delle configurazioni di base Manuale, Disabilitato 1.1.0
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.0.0

Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali.

ID: NIST SP 800-171 R2 3.4.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. Audit, Disabled 3.1.0-deprecated
Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. AuditIfNotExists, Disabled 1.0.0
Per le app del servizio app il debug remoto deve essere disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. AuditIfNotExists, Disabled 2.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. Audit, Disabled 1.0.2
Imporre le impostazioni della configurazione della sicurezza CMA_0249 - Imporre le impostazioni della configurazione della sicurezza Manuale, Disabilitato 1.1.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. AuditIfNotExists, Disabled 2.0.0
Gestire la conformità dei fornitori di servizi cloud CMA_0290 - Gestire la conformità dei provider di servizi cloud Manuale, Disabilitato 1.1.0
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.3.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 5.2.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.3.0
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.3.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 8.2.0
Il cluster Kubernetes non deve consentire contenitori con privilegi Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.2.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 7.2.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.2.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Visualizzare e configurare i dati di diagnostica del sistema CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema Manuale, Disabilitato 1.1.0
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.0.0

Tenere traccia, rivedere, approvare o annullare l'approvazione e registrare le modifiche apportate ai sistemi aziendali.

ID: NIST SP 800-171 R2 3.4.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assegnare un rappresentante della sicurezza delle informazioni al controllo delle modifiche CMA_C1198 - Assegnare un rappresentante della sicurezza delle informazioni per il controllo delle modifiche Manuale, Disabilitato 1.1.0
Automatizzare la richiesta di approvazione per le modifiche proposte CMA_C1192 - Automatizzare la richiesta di approvazione per le modifiche proposte Manuale, Disabilitato 1.1.0
Automatizzare l'implementazione delle notifiche di modifiche approvate CMA_C1196 - Automatizzare l'implementazione delle notifiche di modifiche approvate Manuale, Disabilitato 1.1.0
Automatizzare il processo per documentare le modifiche implementate CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate Manuale, Disabilitato 1.1.0
Automatizzare il processo per evidenziare le proposte di modifica non presentate CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate Manuale, Disabilitato 1.1.0
Automatizzare il processo per impedire l'implementazione di modifiche non approvate CMA_C1194 - Automatizzare il processo per impedire l'implementazione di modifiche non approvate Manuale, Disabilitato 1.1.0
Automatizzare le modifiche documentate proposte CMA_C1191 - Automatizzare le modifiche documentate proposte Manuale, Disabilitato 1.1.0
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Sviluppare e mantenere uno standard di gestione delle vulnerabilità CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Definire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per i developer CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire il controllo per la verifica delle modifiche di configurazione CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione Manuale, Disabilitato 1.1.0

Analizzare l'impatto sulla sicurezza delle modifiche prima dell'implementazione.

ID: NIST SP 800-171 R2 3.4.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Sviluppare e mantenere uno standard di gestione delle vulnerabilità CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Definire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per i developer CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire il controllo per la verifica delle modifiche di configurazione CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione Manuale, Disabilitato 1.1.0

Definire, documentare, approvare e applicare restrizioni di accesso fisiche e logiche associate alle modifiche apportate ai sistemi aziendali.

ID: NIST SP 800-171 R2 3.4.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare e controllare le restrizioni di accesso CMA_C1203 - Applicare e controllare le restrizioni di accesso Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Limitare i privilegi per apportare modifiche nell'ambiente di produzione CMA_C1206 - Limitare i privilegi per apportare modifiche nell'ambiente di produzione Manuale, Disabilitato 1.1.0
Limitare l'installazione non autorizzata di software e firmware CMA_C1205 - Limitare l'installazione non autorizzata di software e firmware Manuale, Disabilitato 1.1.0
Rivedere e rivalutare i privilegi CMA_C1207 - Rivedere e rivalutare i privilegi Manuale, Disabilitato 1.1.0
Verificare se sono presenti modifiche non autorizzate CMA_C1204 - Verificare se sono presenti modifiche non autorizzate Manuale, Disabilitato 1.1.0

Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali.

ID: NIST SP 800-171 R2 3.4.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3

Identificazione e autenticazione

Identificare gli utenti di sistema, i processi che operano per conto degli utenti e i dispositivi.

ID: NIST SP 800-171 R2 3.5.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Assegnare gli identificatori di sistema CMA_0018 - Assegnare gli identificatori di sistema Manuale, Disabilitato 1.1.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Imporre l'univocità dell'utente CMA_0250 - Imporre l’univocità dell’utente Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Richiedere l'utilizzo di autenticatori di persone fisiche CMA_C1305 - Richiedere l'utilizzo di autenticatori di persone fisiche Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
Supportare le credenziali personali di verifica emesse dalle autorità competenti CMA_0507 - Supportare le credenziali personali di verifica emesse dalle autorità competenti Manuale, Disabilitato 1.1.0

Archiviare e trasmettere solo le password protette con crittografia.

ID: NIST SP 800-171 R2 3.5.10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Verificare che gli utenti autorizzati proteggano gli autenticatori forniti CMA_C1339 - Verificare che gli utenti autorizzati proteggano gli autenticatori forniti Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Nascondere feedback sulle informazioni di autenticazione

ID: NIST SP 800-171 R2 3.5.11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Oscurare le informazioni di feedback durante il processo di autenticazione CMA_C1344 - Oscurare le informazioni di feedback durante il processo di autenticazione Manuale, Disabilitato 1.1.0

Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali.

ID: NIST SP 800-171 R2 3.5.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.2.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
I certificati devono avere il periodo di validità massimo specificato Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. audit, Audit, Deny, Deny, disabled, Disabled 2.2.1
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Stabilire i processi e i tipi di autenticatori CMA_0267 - Stabilire i processi e i tipi di autenticatori Manuale, Disabilitato 1.1.0
Stabilire le procedure per la distribuzione iniziale dell'autenticatore CMA_0276 - Stabilire le procedure per la distribuzione iniziale dell'autenticatore Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
Gestire la durata e il riutilizzo dell'autenticatore CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore Manuale, Disabilitato 1.1.0
Gestire gli autenticatori CMA_C1321 - Gestire gli autenticatori Manuale, Disabilitato 1.1.0
Aggiornare gli autenticatori CMA_0425 - Aggiornare gli autenticatori Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
Verificare l'identità prima della distribuzione di autenticatori CMA_0538 - Verificare l'identità prima della distribuzione di autenticatori Manuale, Disabilitato 1.1.0

Usare l'autenticazione a più fattori per l'accesso locale e di rete agli account con privilegi e per l'accesso di rete agli account senza privilegi

ID: NIST SP 800-171 R2 3.5.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0

Usare meccanismi di autenticazione che eseguano la riproduzione per l'accesso di rete ad account privilegiati e non.

ID: NIST SP 800-171 R2 3.5.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Impedire il riutilizzo degli identificatori per un periodo definito.

ID: NIST SP 800-171 R2 3.5.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Impedire il riutilizzo degli identificatori per il periodo di tempo definito CMA_C1314 - Impedire il riutilizzo degli identificatori per il periodo di tempo definito Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Disabilitare gli identificatori dopo un periodo di inattività definito.

ID: NIST SP 800-171 R2 3.5.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Le app del servizio app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password.

ID: NIST SP 800-171 R2 3.5.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password AuditIfNotExists, Disabled 2.0.0
Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri AuditIfNotExists, Disabled 2.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire criteri per le password CMA_0256 - Stabilire criteri per le password Manuale, Disabilitato 1.1.0
Implementare i parametri per gli strumenti di verifica dei segreti memorizzati CMA_0321 - Implementare i parametri per gli strumenti di verifica dei segreti memorizzati Manuale, Disabilitato 1.1.0

Proibire il riutilizzo delle password per un numero specificato di generazioni.

ID: NIST SP 800-171 R2 3.5.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 AuditIfNotExists, Disabled 2.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0

Risposta agli eventi imprevisti

Stabilire una funzionalità di gestione degli incidenti operativa per i sistemi organizzativi che includono preparazione, rilevamento, analisi, contenimento, ripristino e attività di risposta degli utenti.

ID: NIST SP 800-171 R2 3.6.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Coordinarsi con le organizzazioni esterne per ottenere una prospettiva comune tra più organizzazioni CMA_C1368 - Coordinarsi con le organizzazioni esterne per ottenere una prospettiva comune tra più organizzazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Sviluppare misure di sicurezza CMA_0161 - Sviluppare misure di sicurezza Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Abilitare la protezione della rete CMA_0238 - Abilitare la protezione della rete Manuale, Disabilitato 1.1.0
Eliminare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta a fuga/perdita di informazioni CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi CMA_0318 - Implementare la gestione degli eventi Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Erogare formazione sulla fuga di informazioni CMA_0413 - Fornire formazione sulla fuga di informazioni Manuale, Disabilitato 1.1.0
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

Tenere traccia, documentare e segnalare gli eventi imprevisti ai dirigenti designati, sia interni che esterni all'organizzazione.

ID: NIST SP 800-171 R2 3.6.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.2.0
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Testare le funzionalità di risposta degli eventi dell'organizzazione.

ID: NIST SP 800-171 R2 3.6.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire test di risposta agli incidenti CMA_0060 - Eseguire test di risposta agli incidenti Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

Gestione

Eseguire la manutenzione dei sistemi organizzativi.[26].

ID: NIST SP 800-171 R2 3.7.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0

Fornire controlli su strumenti, tecniche, meccanismi e personale usati per eseguire la manutenzione del sistema.

ID: NIST SP 800-171 R2 3.7.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Utilizzare un meccanismo di bonifica dei supporti CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire attività di diagnostica e di manutenzione non locali CMA_0364 - Gestire attività di diagnostica e di manutenzione non locale Manuale, Disabilitato 1.1.0

Assicurarsi che le apparecchiature rimosse per la manutenzione fuori sito siano purificate da tutti i CUI.

ID: NIST SP 800-171 R2 3.7.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Utilizzare un meccanismo di bonifica dei supporti CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire attività di diagnostica e di manutenzione non locali CMA_0364 - Gestire attività di diagnostica e di manutenzione non locale Manuale, Disabilitato 1.1.0

Verificare se negli elementi multimediali contenenti programmi di diagnostica e test è presente codice dannoso prima che gli elementi multimediali siano usati nei sistemi dell'organizzazione.

ID: NIST SP 800-171 R2 3.7.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Gestire attività di diagnostica e di manutenzione non locali CMA_0364 - Gestire attività di diagnostica e di manutenzione non locale Manuale, Disabilitato 1.1.0

Richiedere l'autenticazione a più fattori per stabilire sessioni di manutenzione non locali tramite connessioni di rete esterne e terminare tali connessioni una volta completata la manutenzione non locale.

ID: NIST SP 800-171 R2 3.7.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire attività di diagnostica e di manutenzione non locali CMA_0364 - Gestire attività di diagnostica e di manutenzione non locale Manuale, Disabilitato 1.1.0

Supervisionare le attività di manutenzione del personale di manutenzione senza l'autorizzazione di accesso richiesta.

ID: NIST SP 800-171 R2 3.7.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Designare il personale per la supervisione delle attività di manutenzione non autorizzate CMA_C1422 - Designare il personale per la supervisione delle attività di manutenzione non autorizzate Manuale, Disabilitato 1.1.0
Mantenere l'elenco del personale di manutenzione remota autorizzato CMA_C1420 - Mantenere l'elenco del personale di manutenzione remota autorizzato Manuale, Disabilitato 1.1.0
Gestire il personale di manutenzione CMA_C1421 - Gestire il personale di manutenzione Manuale, Disabilitato 1.1.0

Protezione dei supporti

Proteggere (ad esempio, controllare fisicamente e archiviare in modo sicuro) supporti di sistema contenenti CUI, sia cartacei che digitali.

ID: NIST SP 800-171 R2 3.8.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Utilizzare un meccanismo di bonifica dei supporti CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Limitare l'accesso a CUI sui supporti di sistema agli utenti autorizzati

ID: NIST SP 800-171 R2 3.8.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Utilizzare un meccanismo di bonifica dei supporti CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Purificare o distruggere i supporti di sistema contenenti CUI prima di eliminarli o rilasciarli per il riutilizzo.

ID: NIST SP 800-171 R2 3.8.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Utilizzare un meccanismo di bonifica dei supporti CMA_0208 - Utilizzare un meccanismo di bonifica dei supporti Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Contrassegnare gli elementi multimediali con i contrassegni CUI necessari e le limitazioni di distribuzione.[27]

ID: NIST SP 800-171 R2 3.8.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Controllare l'accesso ai contenuti multimediali contenenti CUI e mantenere la responsabilità per i contenuti multimediali durante il trasporto all'esterno delle aree controllate.

ID: NIST SP 800-171 R2 3.8.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire il trasporto degli asset CMA_0370 - Gestire il trasporto degli asset Manuale, Disabilitato 1.1.0

Implementare meccanismi di crittografia per proteggere la riservatezza di CUI archiviati nei supporti digitali durante il trasporto, se non diversamente protetto da misure di sicurezza fisiche alternative.

ID: NIST SP 800-171 R2 3.8.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire il trasporto degli asset CMA_0370 - Gestire il trasporto degli asset Manuale, Disabilitato 1.1.0

Controllare l'uso di supporti rimovibili nei componenti del sistema.

ID: NIST SP 800-171 R2 3.8.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei dispositivi di archiviazione portabili CMA_0083 - Controllare l'utilizzo dei dispositivi di archiviazione portabili Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Limitare l'uso di file multimediali CMA_0450 - Limitare l'uso di file multimediali Manuale, Disabilitato 1.1.0

Impedire l'uso di dispositivi di archiviazione portatili quando tali dispositivi non hanno proprietari identificabili.

ID: NIST SP 800-171 R2 3.8.8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei dispositivi di archiviazione portabili CMA_0083 - Controllare l'utilizzo dei dispositivi di archiviazione portabili Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Limitare l'uso di file multimediali CMA_0450 - Limitare l'uso di file multimediali Manuale, Disabilitato 1.1.0

Proteggere la riservatezza dei backup CUI nelle posizioni di archiviazione.

ID: NIST SP 800-171 R2 3.8.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. Audit, Deny, Disabled 2.1.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. Audit, Deny, Disabled 3.0.0

Sicurezza del personale

Scansionare i singoli prima di autorizzare l'accesso a sistemi aziendali contenenti CUI.

ID: NIST SP 800-171 R2 3.9.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare il personale con accesso alle informazioni riservate CMA_0054 - Deselezionare il personale con accesso alle informazioni riservate Manuale, Disabilitato 1.1.0
Implementare la verifica del personale CMA_0322 - Implementare la verifica del personale Manuale, Disabilitato 1.1.0

Assicurarsi che i sistemi dell'organizzazione che contengono CUI siano protetti durante e dopo azioni del personale, ad esempio cessazioni e trasferimenti

ID: NIST SP 800-171 R2 3.9.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Condurre un colloquio di uscita al termine del rapporto di lavoro CMA_0058 - Condurre un colloquio di uscita al termine del rapporto di lavoro Manuale, Disabilitato 1.1.0
Disabilitare gli autenticatori alla chiusura CMA_0169 - Disabilitare gli autenticatori alla chiusura Manuale, Disabilitato 1.1.0
Avviare azioni di trasferimento o riassegnazione CMA_0333 - Avviare azioni di trasferimento o riassegnazione Manuale, Disabilitato 1.1.0
Modificare le autorizzazioni di accesso in caso di trasferimento del personale CMA_0374 - Modificare le autorizzazioni di accesso in caso di trasferimento del personale Manuale, Disabilitato 1.1.0
Inviare una notifica in caso di risoluzione o trasferimento CMA_0381 - Inviare una notifica in caso di risoluzione o trasferimento Manuale, Disabilitato 1.1.0
Proteggere e impedire il furto di dati da parte di dipendenti in uscita CMA_0398 - Impedire e proteggersi dal furto di dati da parte di dipendenti in uscita Manuale, Disabilitato 1.1.0
Rivalutare l'accesso in seguito al trasferimento del personale CMA_0424 - Rivalutare l'accesso in seguito al trasferimento del personale Manuale, Disabilitato 1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure: