Controlli di conformità alle normative di Criteri di Azure per Macchine virtuali di Azure
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Macchine virtuali di Azure. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
Australian Government ISM PROTECTED
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Australian Government ISM PROTECTED. Per altre informazioni su questo standard di conformità, vedere Australian Government ISM PROTECTED.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a fattore singolo - 421 | I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | 3.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso privilegiato ai sistemi - 445 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per il monitoraggio dei sistemi - Registrazione e controllo degli eventi | 582 | Eventi da registrare - 582 | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch per le vulnerabilità di sicurezza - 940 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch per le vulnerabilità di sicurezza - 1144 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la rete - Progettazione e configurazione della rete | 1182 | Controlli di accesso alla rete - 1182 | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per i sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Linee guida per la gestione di sistemi - Amministrazione dei sistemi | 1386 | Restrizione dei flussi di traffico di gestione - 1386 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch per le vulnerabilità di sicurezza - 1472 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch per le vulnerabilità di sicurezza - 1494 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch per le vulnerabilità di sicurezza - 1495 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch per le vulnerabilità di sicurezza - 1496 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso privilegiato ai sistemi - 1507 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso privilegiato ai sistemi - 1508 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Linee guida per la gestione dei sistemi - Backup e ripristino dei dati | 1511 | Esecuzione di backup - 1511 | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione ai sistemi - 1546 | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Canada Federal PBMM
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Canada Federal PBMM. Per altre informazioni su questo standard di conformità, vedere Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 2 Centro sicurezza | 2.10 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| 2 Centro sicurezza | 2.12 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 2 Centro sicurezza | 2.4 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 2 Centro sicurezza | 2,9 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 7 macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 7 macchine virtuali | 7.1 | Assicurarsi che le macchine virtuali stiano utilizzando Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 7 macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
| 7 macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 7 macchine virtuali | 7.1 | Assicurarsi che le macchine virtuali stiano utilizzando Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 7 macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per CIS v2.0.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Assicurarsi che lo stato della raccomandazione di Microsoft Defender per "Applica gli aggiornamenti del sistema" sia "Completato" | I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | 3.7.0 |
| 6 | 6.1 | Assicurarsi che l'accesso RDP da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| 6 | 6.2 | Assicurarsi che l'accesso SSH da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| 7 | 7.2 | Assicurarsi che le macchine virtuali stiano utilizzando Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 7 | 7.4 | Assicurarsi che i "dischi non collegati" siano crittografati con la chiave gestita dal cliente (CMK) | Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | 1.0.0 |
| 7 | 7.5 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri reparti IT). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso al sistema informatico ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| Controllo dell’accesso | AC.1.003 | Verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controllo dell’accesso | AC.2.007 | Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controllo dell’accesso | AC.2.008 | Usare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
| Controllo dell’accesso | AC.2.008 | Usare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
| Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Controllo dell’accesso | AC.3.018 | Impedire agli utenti non privilegiati di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
| Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo, ad esempio log, in uno o più archivi centrali. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo, ad esempio log, in uno o più archivi centrali. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo, ad esempio log, in uno o più archivi centrali. | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo, ad esempio log, in uno o più archivi centrali. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo, ad esempio log, in uno o più archivi centrali. | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nella loro applicazione. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Gestione della configurazione | CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Gestione della configurazione | CM.2.062 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
| Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
| Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Gestione della configurazione | CM.2.065 | Tenere traccia, rivedere, approvare o annullare l'approvazione e registrare le modifiche apportate ai sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | 3.0.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi come prerequisito per consentire l'accesso ai reparti IT dell'organizzazione. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
| Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | IA.3.084 | Usare meccanismi di autenticazione che eseguano la riproduzione per l'accesso di rete ad account privilegiati e non. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Ripristino | RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| Ripristino | RE.2.137 | Eseguire e testare regolarmente i backup dei dati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| Ripristino | RE.3.139 | Eseguire regolarmente backup completi, esaustivi e resilienti dei dati come definiti dall'organizzazione. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| Ripristino | RE.3.139 | Eseguire regolarmente backup completi, esaustivi e resilienti dei dati come definiti dall'organizzazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), le risorse dell'organizzazione e i singoli utenti, risultanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione dei rischi | RM.2.143 | Rimediare alle vulnerabilità in conformità alle valutazioni dei rischi. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.2.179 | Usare sessioni crittografate per la gestione dei dispositivi di rete. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.181 | Separare le funzionalità degli utenti dalle funzionalità di gestione del sistema. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.185 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Protezione del sistema e delle comunicazioni | SC.3.190 | Proteggere l'autenticità delle sessioni di comunicazione. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere e gli errori delle informazioni e dei sistemi informativi in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso nelle posizioni appropriate all'interno dei reparti IT organizzativi. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso nelle posizioni appropriate all'interno dei reparti IT organizzativi. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Integrità del sistema e delle informazioni | SI.1.212 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del reparto IT e in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del reparto IT e in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
HIPAA HITRUST 9.2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Identificazione e autenticazione utente | 11210.01q2Organizational.10 - 01.q | Le firme elettroniche e le firme a mano eseguite in record elettronici dovranno essere collegate ai rispettivi record elettronici. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Identificazione e autenticazione utente | 11211.01q2Organizational.11 - 01.q | I record elettronici firmati conterranno informazioni associate alla firma in formato leggibile. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| 06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | 3.0.0 |
| 06 Gestione della configurazione | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | 3.0.0 |
| 06 Gestione della configurazione | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 06 Gestione della configurazione | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
| 07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| 07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | 3.0.0 |
| 07 Gestione delle vulnerabilità | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| 07 Gestione delle vulnerabilità | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 07 Gestione delle vulnerabilità | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 08 Protezione di rete | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0809.01n2Organizational.1234-01 - 01.n | 0809.01n2Organizational.1234-01.n 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0810.01n2Organizational.5-01 - 01.n | 0810.01n2Organizational.5-01.n 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0811.01n2Organizational.6-01 - 01.n | 0811.01n2Organizational.6-01.n 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0812.01n2Organizational.8-01 - 01.n | 0812.01n2Organizational.8-01.n 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0814.01n1Organizational.12-01 - 01.n | 0814.01n1Organizational.12-01.n 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| 08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| 08 Protezione di rete | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| 08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | 3.0.0 |
| 08 Protezione di rete | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
| 08 Protezione di rete | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Gestione della sicurezza di rete | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 08 Protezione di rete | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Gestione della sicurezza di rete | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| 08 Protezione di rete | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Controllo di accesso alla rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Back-up | 1699.09l1Organizational.10 - 09.l | I ruoli e le responsabilità dei membri della forza lavoro nel processo di backup dei dati vengono identificati e comunicati alla forza lavoro; in particolare gli utenti in modalità BYOD (Bring Your Own Device) sono tenuti a eseguire i backup dei dati dell'organizzazione e/o dei clienti nei loro dispositivi. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| 09 Protezione della trasmissione | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servizi di commercio elettronico | Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | 3.0.0 |
| 11 Controllo di accesso | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Accesso autorizzato ai sistemi informativi | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 11 Controllo di accesso | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Controllo degli accessi alla rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 11 Controllo di accesso | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | 2.0.0 |
| 11 Controllo di accesso | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| 11 Controllo di accesso | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Controllo di accesso al sistema operativo | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
| 11 Controllo di accesso | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| 11 Controllo di accesso | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Accesso autorizzato ai sistemi informativi | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | 3.0.0 |
| 11 Controllo di accesso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| 11 Controllo di accesso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Controllo degli accessi alla rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 11 Controllo di accesso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Controllo degli accessi alla rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 11 Controllo di accesso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Controllo degli accessi alla rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 11 Controllo di accesso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Controllo degli accessi alla rete | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| 12 Registrazione di controllo e monitoraggio | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Monitoraggio | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| 12 Registrazione di controllo e monitoraggio | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitoraggio | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| 12 Registrazione di controllo e monitoraggio | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
| 12 Registrazione di controllo e monitoraggio | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitoraggio | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| 12 Registrazione di controllo e monitoraggio | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitoraggio | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| 12 Registrazione di controllo e monitoraggio | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
| 12 Registrazione di controllo e monitoraggio | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
| 12 Registrazione di controllo e monitoraggio | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Information Back-Up | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Information Back-Up | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspetti della gestione della continuità aziendale correlati alla sicurezza delle informazioni | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspetti della gestione della continuità aziendale correlati alla sicurezza delle informazioni | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | 3.0.0 |
| 16 Continuità aziendale e ripristino di emergenza | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspetti della gestione della continuità aziendale correlati alla sicurezza delle informazioni | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
IRS 1075 settembre 2016
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - IRS 1075 settembre 2016. Per altre informazioni su questo standard di conformità, vedere IRS 1075 settembre 2016.
ISO 27001:2013
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - ISO 27001:2013. Per altre informazioni su questo standard di conformità, vedere ISO 27001:2013.
Criteri riservati di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | 1.0.0 |
| SO.4 - Confidential computing di Azure | SO.4 | I prodotti Azure devono essere configurati per l'uso degli SKU di Confidential Computing di Azure, quando possibile. | SKU di dimensioni di macchine virtuali consentiti | 1.0.1 |
Criteri globali di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità normativa dei criteri di Azure a Criteri globali di base di Microsoft Cloud for Sovereignty. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| SO.5 - Avvio attendibile | SO.5 | Le macchine virtuali devono essere configurate con gli SKU di Avvio attendibile e Avvio attendibile deve essere abilitato, quando possibile. | I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch | 1.0.0 |
| SO.5 - Avvio attendibile | SO.5 | Le macchine virtuali devono essere configurate con gli SKU di Avvio attendibile e Avvio attendibile deve essere abilitato, quando possibile. | Per la macchina virtuale deve essere abilitato TrustedLaunch | 1.0.0 |
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza del cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Sicurezza di rete | NS-1 | Stabilire i limiti di segmentazione di rete | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Sicurezza di rete | NS-1 | Stabilire i limiti di segmentazione di rete | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Sicurezza di rete | NS-1 | Stabilire i limiti di segmentazione di rete | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Sicurezza di rete | NS-3 | Distribuire il firewall nel perimetro della rete aziendale | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Sicurezza di rete | NS-3 | Distribuire il firewall nel perimetro della rete aziendale | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Sicurezza di rete | NS-3 | Distribuire il firewall nel perimetro della rete aziendale | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Gestione delle identità | IM-3 | Gestire le identità dell'applicazione in modo sicuro e automatico | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Gestione delle identità | IM-6 | Usare controlli di autenticazione avanzata | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| Gestione delle identità | IM-8 | Limitare l'esposizione di credenziali e segreti | È necessario che i risultati per i segreti delle macchine virtuali siano risolti | 1.0.2 |
| Accesso con privilegi | PA-2 | Evitare l'accesso permanente per account e autorizzazioni | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione dei dati | DP-3 | Crittografare i dati sensibili in transito | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Protezione dei dati | DP-4 | Abilitare la crittografia dei dati inattivi per impostazione predefinita | Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | 1.2.1 |
| Protezione dei dati | DP-4 | Abilitare la crittografia dei dati inattivi per impostazione predefinita | Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | 1.0.0 |
| Protezione dei dati | DP-4 | Abilitare la crittografia dei dati inattivi per impostazione predefinita | Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | 1.1.1 |
| Gestione cespiti | AM-2 | Utilizzare solo servizi approvati | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| Registrazione e rilevamento delle minacce | LT-1 | Abilitare le funzionalità di rilevamento delle minacce | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Registrazione e rilevamento delle minacce | LT-2 | Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Registrazione e rilevamento delle minacce | LT-4 | Abilitare la registrazione di rete per l'analisi della sicurezza | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| Registrazione e rilevamento delle minacce | LT-4 | Abilitare la registrazione di rete per l'analisi della sicurezza | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-anteprima |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | 5.1.0-anteprima |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | 3.1.0-anteprima |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | 1.0.0-preview |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | 4.0.0-preview |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Gestione del comportamento e delle vulnerabilità | PV-4 | Controllare e applicare le configurazioni sicure per le risorse di calcolo | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-5 | Eseguire valutazioni delle vulnerabilità | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-5 | Eseguire valutazioni delle vulnerabilità | È necessario che i risultati per i segreti delle macchine virtuali siano risolti | 1.0.2 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Correggere in modo rapido e automatico le vulnerabilità del software | I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | 3.7.0 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Correggere in modo rapido e automatico le vulnerabilità del software | I risultati delle vulnerabilità devono essere risolti nei server SQL | 1.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Correggere in modo rapido e automatico le vulnerabilità del software | È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) | 1.0.1 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Correggere in modo rapido e automatico le vulnerabilità del software | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Sicurezza degli endpoint | ES-2 | Usare un software antimalware moderno | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Backup e ripristino | BR-1 | Assicurarsi i backup regolari automatici | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| Backup e ripristino | BR-2 | Proteggere i dati di backup e di ripristino | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Controllo dell’accesso | 3.1.13 | Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Controllo dell’accesso | 3.1.14 | Instradare l'accesso remoto tramite punti di controllo di accesso gestito. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Controllo dell’accesso | 3.1.2 | Limitare l'accesso di sistema ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
| Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | I risultati delle vulnerabilità devono essere risolti nei server SQL | 1.0.0 |
| Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I risultati delle vulnerabilità devono essere risolti nei server SQL | 1.0.0 |
| Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | 1.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Il disco dati e il disco del sistema operativo devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | 1.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio nega tutto, consenti per eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Protezione del sistema e delle comunicazioni | 3.13.8 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuovi rilasci. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi organizzativi e analisi in tempo reale di file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi organizzativi. | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| Controllo e responsabilità | 3.3.1 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | 3.5.4 | Usare meccanismi di autenticazione che eseguano la riproduzione per l'accesso di rete ad account privilegiati e non. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
| Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
| Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
| Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
| Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| Protezione dei supporti | 3.8.9 | Proteggere la riservatezza dei backup CUI nelle posizioni di archiviazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| C.04.8 Gestione delle vulnerabilità tecniche - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per il miglioramento e vengono comunicati con manager/proprietari. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| U.04.1 Ripristino dati e servizi cloud - Funzione di ripristino | U.04.1 | I dati e i servizi cloud vengono ripristinati entro il periodo concordato e con la massima perdita di dati e resi disponibili al CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.04.2 Ripristino dati e servizi cloud - Funzione di ripristino | U.04.2 | Viene monitorato il processo continuo di protezione recuperabile dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.04.3 Ripristino dati e servizi cloud - Testato | U.04.3 | Il funzionamento delle funzioni di ripristino viene testato periodicamente e i risultati vengono condivisi con il CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-anteprima |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | 5.1.0-anteprima |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | 3.1.0-anteprima |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | 4.0.0-preview |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | 1.0.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Il disco dati e il disco del sistema operativo devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | 1.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le risorse di accesso al disco devono usare collegamenti privati | 1.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-anteprima |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | 5.1.0-anteprima |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | 3.1.0-anteprima |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | 4.0.0-preview |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | 1.0.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Il disco dati e il disco del sistema operativo devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | 1.0.0 |
| Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | Dependency Agent deve essere abilitato nelle immagini delle macchine virtuali nell'elenco | 2.0.0 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.0 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | Dependency Agent deve essere abilitato nelle immagini delle macchine virtuali nell'elenco | 2.0.0 |
| U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.0 |
| U.15.3 Registrazione e monitoraggio - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| U.17.1 Architettura multi-tenant - Crittografata | U.17.1 | I dati CSC sul trasporto e l’inattività sono crittografati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| U.17.1 Architettura multi-tenant - Crittografata | U.17.1 | I dati CSC sul trasporto e l’inattività sono crittografati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
PCI DSS 3.2.1
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere PCI DSS 3.2.1. Per altre informazioni su questo standard di conformità, vedere PCI DSS 3.2.1.
PCI DSS v4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per PCI DSS v4.0. Per altre informazioni su questo standard di conformità, vedere PCI DSS v4.0.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Requisito 01: Installare e mantenere i controlli di sicurezza di rete | 1.3.2 | L'accesso alla rete da e verso l'ambiente dei dati dei titolari di carte è limitato | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Requisito 01: Installare e mantenere i controlli di sicurezza di rete | 1.4.2 | Le connessioni di rete tra reti attendibili e non sono controllate | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.2.2 | I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| Requisito 10: registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte | 10.3.3 | I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
| Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.1 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.2 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 05: proteggere tutti i sistemi e le reti da software dannosi | 5.2.3 | I software dannosi (malware) vengono impediti o rilevati e risolti | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Requisito 06: sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette dagli attacchi | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | 2.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
| Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Reserve Bank of India - IT Framework for NBFC
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
Spain ENS
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per Spagna ENS. Per altre informazioni su questo standard di conformità, vedere CCN-STIC 884.
SWIFT CSP-CSCF v2021
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2022.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.2 | Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.3 | Proteggere la piattaforma di virtualizzazione e le macchine virtuali (VM) che ospitano componenti correlati a SWIFT allo stesso livello dei sistemi fisici. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| 1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati delle applicazioni tra i componenti locali correlati a SWIFT. | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati delle applicazioni tra i componenti locali correlati a SWIFT. | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Controlla le macchine virtuali Windows in attesa di riavvio | 2.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di cyberattacco dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Sicurezza del flusso di dati di back-office | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Sicurezza del flusso di dati di back-office | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati personali dalla trasmissione esterna | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni interattive degli operatori che si connettono all'infrastruttura SWIFT locale o remota (gestita da un provider di servizi) o alle applicazioni correlate a SWIFT del provider di servizi | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | 3.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un processo regolare di analisi delle vulnerabilità e agire in base ai risultati. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| 2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un processo regolare di analisi delle vulnerabilità e agire in base ai risultati. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
| 3. Proteggere fisicamente l'ambiente | 3.1 | Impedire l'accesso fisico non autorizzato ad apparecchiature sensibili, ambienti di lavoro, siti di hosting e spazio di archiviazione. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | 2.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | 2.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | 2.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | 2.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
| 4. Impedire la compromissione delle credenziali | 4.1 | Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
| 5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 5. Gestire le identità e separare i privilegi | 5,2 | Garantire la gestione, il rilevamento e l'uso appropriati dell'autenticazione hardware connesso e disconnesso o dei token personali (quando vengono usati i token). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| 5. Gestire le identità e separare i privilegi | 5.4 | Proteggere fisicamente e logicamente il repository di password registrate. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Garantire che l'infrastruttura SWIFT locale sia protetta da malware e agire in base ai risultati. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.1 | Garantire che l'infrastruttura SWIFT locale sia protetta da malware e agire in base ai risultati. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | 2.0.1-preview |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | 2.0.1 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | 1.0.1 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.4 | Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | 1.0.1 |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | 1.0.2-anteprima |
| 6. Rilevare attività anomale a sistemi o record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | 1.0.2-anteprima |
Controlli di sistema e organizzazione (SOC) 2
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i Controlli del sistema e dell’organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Criteri aggiuntivi per la disponibilità | A1.2 | Protezioni dell'ambiente, software, processi di backup dei dati e infrastruttura di ripristino | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
| Valutazione dei rischi | CC3.2 | COSO Principle 7 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | 3.2.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | 4.1.1 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-anteprima |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | 5.1.0-anteprima |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | 3.1.0-anteprima |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | 4.0.0-preview |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
| Operazioni di sistema | CC7.1 | Rilevamento e monitoraggio di nuove vulnerabilità | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
| Operazioni di sistema | CC7.2 | Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali | Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | 2.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-anteprima |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | 5.1.0-anteprima |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | 3.1.0-anteprima |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | 4.0.0-preview |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | L'estensione Configurazione guest deve essere installata nei computer | 1.0.3 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | 2.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | 1.0.1 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | 2.0.0 |
| Criteri aggiuntivi per l'integrità dell'elaborazione | PI1.5 | Archiviazione completa accurata e tempestiva di input e output | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
UK OFFICIAL e UK NHS
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - UK OFFICIAL e UK NHS. Per altre informazioni su questo standard di conformità, vedere UK OFFICIAL.
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.