Dettagli dell'iniziativa predefinita di conformità alle normative RMIT Malaysia
L'articolo seguente descrive in dettaglio in che modo la definizione dell'iniziativa predefinita di Conformità alle normative dei Criteri di Azure esegue il mapping per i domini di conformità e i controlli di RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli RMIT Malaysia. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative RMIT Malaysia.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Crittografia
Crittografia - 10.16
ID: RMiT 10.16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un malintenzionato all'interno dell'organizzazione può potenzialmente eliminare e cancellare HSM gestito di Azure Key Vault. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per HSM gestito di Azure Key Vault. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente HSM gestito di Azure Key Vault durante il periodo di conservazione associato all'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Crittografia - 10.19
ID: RMiT 10.19 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
Cryptography - 10.20
ID: RMiT 10.20 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere l’abilitazione per i "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da uno nuovo, con stesso nome, perché HTTP 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecated |
| Per le App del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Operazioni del data center
Operazioni del data center - 10.27
ID: RMiT 10.27 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Distribuire/Configurare l'estensione di Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
Operazioni del data center - 10.30
ID: RMiT 10.30 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Resilienza di rete
Resilienza di rete - 10.33
ID: RMiT 10.33 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Il gruppo di contenitori di Istanza di contenitore di Azure deve essere distribuito in una rete virtuale | Proteggere la comunicazione tra i contenitori con reti virtuali di Azure. Quando si specifica una rete virtuale, le risorse all'interno della rete virtuale possono comunicare in modo sicuro e privato tra loro. | Audit, Disabled, Deny | 2.0.0 |
| I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
| Configurare Configurazione app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Configurazione app in modo che non sia accessibile tramite Internet pubblico. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Modifica, disattivato | 1.0.0 |
| Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che sia possibile accedere a SQL Server di Azure solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i database in Azure SQL Server. | Modificare, Disabilitata | 1.0.0 |
| Configurare Azure SQL Server per abilitare le connessioni dell'endpoint privato | Una connessione all'endpoint privato consente la connettività privata al database SQL di Azure tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora la postura di sicurezza e supporta gli strumenti e gli scenari di rete di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i registri del contenitore per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa Registro contenitori, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Altre informazioni su https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modifica, disattivato | 1.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestita, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modifica, disattivato | 2.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Gli hub eventi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli hub eventi che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| I Managed Disks devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| Modificare - Configurare la Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet di Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione archiviazione tramite gli endpoint privati. | Modifica, disattivato | 1.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'accesso alla rete pubblica deve essere disabilitato per i registri del contenitore | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che i registri contenitori non siano esposti su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse del registro contenitori. Altre informazioni su https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link | Audit, Deny, Disabled | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
Resilienza di rete - 10.35
ID: RMiT 10.35 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Distribuire/Configurare l'estensione di Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Resilienza di rete - 10.38
ID: RMiT 10.38 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro personalizzata. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite un'area di lavoro personalizzata. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro predefinita. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite l'area di lavoro predefinita del Centro sicurezza di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
Resilienza di rete - 10.39
ID: RMiT 10.39 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| I server SQL devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Servizi cloud
Servizi cloud - 10.49
ID: RMiT 10.49 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | controllo | 2.0.0 |
| La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata | Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| I database SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | I database devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
| Le istanze gestite di SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | Le istanze gestite devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
Servizi cloud - 10.51
ID: RMiT 10.51 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usa la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
| Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
Servizi cloud - 10.53
ID: RMiT 10.53 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurazione app deve usare una chiave gestita dal cliente | Le chiavi gestite dal cliente offrono protezione dati avanzata consentendo di gestire le chiavi di crittografia. Tale funzionalità è spesso necessaria per soddisfare i requisiti di conformità. | Audit, Deny, Disabled | 1.1.0 |
| Il gruppo di contenitori dell'istanza contenitori di Azure deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Disabled, Deny | 1.0.0 |
| I cluster dei log di Monitoraggio di Azure devono essere crittografati con una chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I registri del contenitore devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Gli spazi dei nomi dell'hub eventi devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Audit, Disabled | 1.0.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
| I dischi gestiti devono usare un set di crittografia dischi specifico per la crittografia con chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Il sistema operativo e i dischi dati devono essere crittografati con una chiave gestita dal cliente | Utilizzare le chiavi gestite dal cliente per gestire la crittografia a riposo del contenuto dei dischi gestiti. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Disabled | 1.0.3 |
Controllo dell’accesso
Controllo di accesso - 10.54
ID: RMiT 10.54 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Configurazione app deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Nelle app del servizio app deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare coloro che dispongono dei token prima che raggiungano l'app Web. | AuditIfNotExists, Disabled | 2.0.1 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Nelle app per le funzioni deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare coloro che dispongono dei token prima che raggiungano l'app per le funzioni. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Controllo di accesso - 10.55
ID: RMiT 10.55 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| È consigliabile definire le regole di autorizzazione nell'istanza di Hub eventi | Controlla l'esistenza di regole di autorizzazione nelle entità di Hub eventi per concedere l'accesso con privilegi minimi | AuditIfNotExists, Disabled | 1.0.0 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Controllo di accesso - 10.58
ID: RMiT 10.58 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Controllo di accesso - 10.60
ID: RMiT 10.60 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
Controllo di accesso - 10.61
ID: RMiT 10.61 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Controllo di accesso - 10.62
ID: RMiT 10.62 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
Gestione dei sistemi per patch e fine vita
Gestione dei sistemi per patch e fine vita - 10.63
ID: RMiT 10.63 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Gestione dei sistemi per patch e fine vita - 10.65
ID: RMiT 10.65 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
Sicurezza dei servizi digitali
Sicurezza dei servizi digitali - 10.66
ID: RMiT 10.66 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati per le App del servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| Controlla l'impostazione di diagnostica per i tipi di risorse selezionati | Controlla l'impostazione di diagnostica per i tipi di risorse selezionati. Assicurarsi di selezionare solo i tipi di risorse che supportano le impostazioni di diagnostica. | AuditIfNotExists | 2.0.1 |
| Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
| I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics | Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
| Le sottoscrizioni di Azure devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuisci - Configurare le impostazioni di diagnostica per i database SQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i database SQL per lo streaming di log di risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un database SQL in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 4.0.0 |
| Distribuire/Configurare l'estensione di Log Analytics da abilitare nelle macchine virtuali Windows | Implementare l'estensione Log Analytics per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.1.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per hub eventi nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per l'hub eventi nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'hub eventi | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per i servizi di ricerca nell'hub eventi | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il servizio di ricerca nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'hub eventi | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'hub eventi | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1 |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni indicate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Nelle macchine virtuali deve essere installata l'estensione di Log Analytics | Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Sicurezza dei servizi digitali - 10.68
ID: RMiT 10.68 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le app del servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.1.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.1.0 |
Attacchi DDoS (Distributed Denial of Service)
Distributed Denial of Service (DDoS) - 11.13
ID: RMiT 11.13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
Criteri di prevenzione della perdita dei dati
Prevenzione della perdita dei dati - 11.15
ID: RMiT 11.15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un malintenzionato all'interno dell'organizzazione può potenzialmente eliminare e cancellare HSM gestito di Azure Key Vault. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per HSM gestito di Azure Key Vault. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente HSM gestito di Azure Key Vault durante il periodo di conservazione associato all'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| I cluster dei log di Monitoraggio di Azure devono essere crittografati con una chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Configurare Configurazione app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Configurazione app in modo che non sia accessibile tramite Internet pubblico. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Modifica, disattivato | 1.0.0 |
| Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che sia possibile accedere a SQL Server di Azure solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i database in Azure SQL Server. | Modificare, Disabilitata | 1.0.0 |
| Configurare i registri del contenitore per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa Registro contenitori, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Altre informazioni su https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modifica, disattivato | 1.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestita, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modifica, disattivato | 2.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| I Managed Disks devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| I dischi gestiti devono usare un set di crittografia dischi specifico per la crittografia con chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Modificare - Configurare la Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet di Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione archiviazione tramite gli endpoint privati. | Modifica, disattivato | 1.0.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Centro operazioni di sicurezza (SOC)
Centro operazioni per la sicurezza (SOC) - 11.17
ID: RMiT 11.17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
Centro operazioni per la sicurezza (SOC) - 11.18
ID: RMiT 11.18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Protezione DDoS di Azure deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione della durata deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_duration non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nell'hub eventi | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata | AuditIfNotExists, Disabled | 1.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Centro operazioni per la sicurezza (SOC) - 11.20
ID: RMiT 11.20 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Gestione dei rischi informatici
Gestione dei rischi informatici - 11.2
ID: RMiT 11.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Gestione dei rischi informatici - 11.4
ID: RMiT 11.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare il backup nelle macchine virtuali senza un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
| Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Audit, Deny, Disabled | 2.0.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
Operazioni di cybersecurity
Operazioni di cybersecurity - 11.5
ID: RMiT 11.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Distribuire Defender per archiviazione (versione classica) in account di archiviazione | Questo criterio abilita Defender per l'archiviazione (versione classica) sugli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.1 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per archiviazione deve essere abilitato | Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Operazioni di cybersecurity - 11.8
ID: RMiT 11.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Misure di controllo sulla cybersecurity
Misure di controllo sulla cybersecurity - Appendice 5.2
ID: RMiT Appendice 5.2 Proprietà: Cliente
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Misure di controllo sulla cybersecurity - Appendice 5.3
ID: RMiT Appendice 5.3 Proprietà: Cliente
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le App del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Il servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app del servizio app devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Misure di controllo sulla cybersecurity - Appendice 5.5
ID: RMiT Appendice 5.5 Proprietà: Cliente
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
Misure di controllo sulla cybersecurity - Appendice 5.6
ID: RMiT Appendice 5.6 Proprietà: Cliente
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | Impostando la versione di TLS su 1.2 o successive, è possibile migliorare la sicurezza e garantire che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versioni successive. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled, Deny | 2.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I server MariaDB devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MariaDB, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MariaDB dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server MySQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MySQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MySQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server PostgreSQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per PostgreSQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per PostgreSQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili MySQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP. | Audit, Deny, Disabled | 3.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
| Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | Impostando la versione minima di TLS su 1.2 è possibile migliorare la sicurezza e garantire che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled | 1.0.1 |
| La regola del firewall basata su rete virtuale nel database SQL di Azure deve essere abilitata per consentire il traffico dalla subnet specificata | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database SQL di Azure, garantendo al contempo che il traffico rimanga entro il limite di Azure. | AuditIfNotExists | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Misure di controllo sulla cybersecurity - Appendice 5.7
ID: RMiT Appendice 5.7 Proprietà: Cliente
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le app del Servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Protezione DDoS di Azure deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Configurare Azure SQL Server per abilitare le connessioni dell'endpoint privato | Una connessione all'endpoint privato consente la connettività privata al database SQL di Azure tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora la postura di sicurezza e supporta gli strumenti e gli scenari di rete di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. | AuditIfNotExists, Disabled | 1.1.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.