Dettagli dell'iniziativa predefinita di conformità alle normative CIS Microsoft Azure Foundations Benchmark 1.1.0
L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita conformità alle normative Criteri di Azure ai domini di conformità e ai controlli in CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark 1.1.0. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli CIS Microsoft Azure Foundations Benchmark 1.1.0 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Individuare e selezionare quindi la definizione dell'iniziativa predefinita CIS Microsoft Azure Foundations Benchmark v1.1.0 Per la conformità alle normative.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
1 Gestione delle identità e degli accessi
Assicurarsi che la funzionalità di autenticazione a più fattori sia abilitata per tutti gli utenti con privilegi
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti possano aggiungere app della raccolta ai propri Pannello di accesso" sia impostato su "No"
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti possano registrare le applicazioni" sia impostato su "No"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Le autorizzazioni utente guest siano limitate" sia impostata su "Sì"
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che 'I membri possono invitare' sia impostato su 'No'
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'opzione 'Guest can invite' sia impostata su 'No'
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.14 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Limitare l'accesso al portale di amministrazione di Azure AD" sia impostato su "Sì"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "La gestione dei gruppi self-service abilitata" sia impostata su "No"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti possano creare gruppi di sicurezza" siano impostati su "No"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti che possono gestire i gruppi di sicurezza" siano impostati su "Nessuno"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti possono creare gruppi di Office 365" sia impostato su "No"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.19 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la funzionalità di autenticazione a più fattori sia abilitata per tutti gli utenti senza privilegi
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti che possono gestire i gruppi di Office 365" siano impostati su "Nessuno"
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.20 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'opzione "Richiedi autenticazione a più fattori per l'aggiunta ai dispositivi" sia impostata su "Sì"
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.22 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
| Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
| Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
| Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487 - Soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che non siano stati creati ruoli di proprietario della sottoscrizione personalizzati
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.23 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
| Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che non siano presenti utenti guest
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Riassegnare o rimuovere i privilegi utente in base alle esigenze | CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
| Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considerano attendibili" è "Disabilitata"
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
| Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
| Soddisfare i requisiti di qualità dei token | CMA_0487 - Soddisfare i requisiti di qualità dei token | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione" non sia impostato su "0"
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Notificare agli utenti la reimpostazione della password?". è impostato su 'Sì'
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Invia una notifica a tutti gli amministratori quando altri amministratori reimpostano la password?". è impostato su 'Sì'
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'assegnazione di ruolo con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Usare privileged identity management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Gli utenti possano fornire il consenso alle app che accedono ai dati aziendali per loro conto" sia impostato su "No"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
2 Centro sicurezza
Assicurarsi che sia selezionato il piano tariffario Standard
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Rilevare i servizi di rete che non sono stati autorizzati o approvati | CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
| Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
Verificare che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitorare Archiviazione crittografia BLOB" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rilevare i servizi di rete che non sono stati autorizzati o approvati | CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora l'inserimento delle applicazioni adattive nell'elenco elementi consentiti" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora controllo SQL" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.14 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia SQL" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Assicurarsi che il criterio "Indirizzi di posta elettronica dei contatti di sicurezza" sia configurato
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Assicurarsi che il criterio "Invia una notifica tramite posta elettronica per avvisi con gravità elevata" sia impostato su "Sì"
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.1.0 |
Assicurarsi che "Invia un messaggio di posta elettronica anche ai proprietari della sottoscrizione" sia impostata su 'Sì'
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.19 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
Assicurarsi che "Provisioning automatico dell'agente di monitoraggio" sia impostata su "Sì"
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora aggiornamenti del sistema" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora protezione endpoint" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia disco" non sia disabilitata
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 2.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora gruppi di sicurezza di rete" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Verificare che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitor Web Application Firewall" non sia "Disabilitata"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
3 account Archiviazione
Assicurarsi che l'opzione "Trasferimento sicuro obbligatorio" sia impostata su "Abilitato".
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 3.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
Assicurarsi che le chiavi di accesso dell'account di archiviazione vengano rigenerate periodicamente
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che Archiviazione registrazione sia abilitata per il servizio di accodamento per le richieste di lettura, scrittura ed eliminazione
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Configurare le funzionalità di controllo di Azure | CMA_C1108 - Configurare le funzionalità di controllo di Azure | Manuale, Disabilitato | 1.1.1 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che i token di firma di accesso condiviso scadano entro un'ora
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Disabilitare gli autenticatori al termine | CMA_0169 - Disabilitare gli autenticatori al termine | Manuale, Disabilitato | 1.1.0 |
| Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
| Terminare automaticamente la sessione utente | CMA_C1054 - Terminare automaticamente la sessione utente | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che i token di firma di accesso condiviso siano consentiti solo tramite https
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il livello di accesso pubblico sia impostato su Privato per i contenitori BLOB
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 3.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la regola di accesso alla rete predefinita per gli account di archiviazione sia impostata su Nega
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 3.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Assicurarsi che il criterio "Servizi Microsoft attendibili" sia abilitato per l'accesso all'account di archiviazione
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
| Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
| Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
| Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
4 Servizi di database
Assicurarsi che "Controllo" sia impostato su "Attivato"
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la protezione TDE di SQL Server sia crittografata con BYOK (Bring Your Own Key)
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
Assicurarsi che il criterio "Imponi connessione SSL" sia abilitato per il server di database MySQL
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il parametro del server "log_checkpoints" sia impostato su "Sì" per il server di database PostgreSQL
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il criterio "Imponi connessione SSL" sia abilitato per il server di database PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 4.13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il parametro del server "log_connections" sia impostato su "Sì" per il server di database PostgreSQL
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.14 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il parametro del server "log_disconnections" sia impostato su "Sì" per il server di database PostgreSQL
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il parametro del server 'log_duration' sia impostato su 'Sì' per il server di database PostgreSQL
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il parametro del server "connection_throttling" sia impostato su "Sì" per il server di database PostgreSQL
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata | Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Verificare che il parametro server 'log_retention_days' sia maggiore di 3 giorni per Postgre database SQL Server
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'amministratore di Azure Active Directory sia configurato
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.19 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "AuditActionGroups" nel criterio "controllo" per un server SQL sia impostato correttamente
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
| Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata | AuditIfNotExists, Disabled | 1.0.0 |
Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni"
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
| I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
Assicurarsi che "Sicurezza dei dati avanzata" in un server SQL sia impostata su "Attivata"
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Tipi di rilevamento minacce" sia impostato su "Tutti"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Invia avvisi a" sia impostato
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Invio di un messaggio di posta elettronica al servizio e ai coamministratori" sia "Abilitato"
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 4.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'amministratore di Azure Active Directory sia configurato
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
5 Registrazione e monitoraggio
Assicurarsi che esista un profilo di log
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Le sottoscrizioni di Azure devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | AuditIfNotExists, Disabled | 1.0.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la conservazione del log attività sia impostata su un valore di 365 giorni o superiore
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il profilo di controllo acquisisca tutte le attività
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il profilo di log acquisisca i log attività per tutte le aree, incluse quelle globali
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
| Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Verificare che il contenitore di archiviazione che archivia i log attività non sia accessibile pubblicamente
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
| Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni di controllo | CMA_0401 - Proteggere le informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'account di archiviazione contenente il contenitore con i log attività sia crittografato con BYOK (Bring Your Own Key)
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
| Mantenere l'integrità del sistema di controllo | CMA_C1133 - Mantenere l'integrità del sistema di controllo | Manuale, Disabilitato | 1.1.0 |
| Proteggere le informazioni di controllo | CMA_0401 - Proteggere le informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Assicurarsi che la registrazione per l'insieme di credenziali delle credenziali di Azure sia abilitata
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
| Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
| Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni riportate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per l'assegnazione di criteri di creazione
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento del gruppo di sicurezza di rete
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per l'eliminazione del gruppo di sicurezza di rete
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento di una regola del gruppo di sicurezza di rete
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per l'eliminazione di una regola del gruppo di sicurezza di rete
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento di una soluzione di sicurezza
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per l'eliminazione di una soluzione di sicurezza
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per la creazione, l'aggiornamento o l'eliminazione di una regola del firewall di SQL Server
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che esista un avviso del log attività per l'aggiornamento dei criteri di sicurezza
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
| Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
6 Rete
Assicurarsi che nessun database SQL consenta l'ingresso 0.0.0.0/0 (QUALSIASI IP)
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 6.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
| Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che il periodo di conservazione del log del flusso del gruppo di sicurezza di rete sia "maggiore di 90 giorni"
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 6.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
| Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che Network Watcher sia abilitato
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 6.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| Verificare le funzioni di sicurezza | CMA_C1708 - Verificare le funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
7 Macchine virtuali
Assicurarsi che il "Disco del sistema operativo" sia crittografato
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Assicurarsi che i "Dischi dati" siano crittografati
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Assicurarsi che i "Dischi non collegati" siano crittografati
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
| Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che siano installate solo le estensioni approvate
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 7.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 7.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
| Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
| Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
| Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
| Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
| Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
| Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
| Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
8 Altre considerazioni sulla sicurezza
Verificare che la data di scadenza sia impostata su tutte le chiavi
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Verificare che la data di scadenza sia impostata su tutti i segreti
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
| Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
| Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
| Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
| Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
| Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che i blocchi delle risorse siano impostati per le risorse di Azure cruciali
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'insieme di credenziali delle chiavi sia recuperabile
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un insider malintenzionato nell'organizzazione può potenzialmente eliminare ed eliminare il modulo di protezione hardware gestito di Azure Key Vault. La protezione dall'eliminazione protegge l'utente dagli attacchi Insider applicando un periodo di conservazione obbligatorio per il modulo di protezione hardware gestito di Azure Key Vault eliminato temporaneamente. Nessuno all'interno dell'organizzazione o Microsoft sarà in grado di eliminare il modulo di protezione hardware gestito di Azure Key Vault durante il periodo di conservazione dell'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Mantenere la disponibilità delle informazioni | CMA_C1644 - Mantenere la disponibilità delle informazioni | Manuale, Disabilitato | 1.1.0 |
Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
| Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
| È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
| Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
| Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
| Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
| Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
9 AppService
Assicurarsi che l'autenticazione del servizio app sia impostata nel servizio app di Azure
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono avere l'autenticazione abilitata | app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare quelle con token prima di raggiungere l'app Web. | AuditIfNotExists, Disabled | 2.0.1 |
| Eseguire l'autenticazione al modulo di crittografia | CMA_0021 - Eseguire l'autenticazione al modulo di crittografia | Manuale, Disabilitato | 1.1.0 |
| Applicare l'univocità dell'utente | CMA_0250 - Imporre l'univocità dell'utente | Manuale, Disabilitato | 1.1.0 |
| Per le app per le funzioni deve essere abilitata l'autenticazione | app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare quelle con token prima di raggiungere l'app per le funzioni. | AuditIfNotExists, Disabled | 3.0.0 |
| Supportare le credenziali di verifica personali rilasciate dalle autorità legali | CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la "versione di HTTP" sia la più recente, se usata per eseguire l'app Web
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'app Web reindirizzi tutto il traffico HTTP a HTTPS nel servizio app Azure
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'app Web usi la versione più recente della crittografia TLS
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
| Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app Web sia impostata su "Sì"
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
| servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Eseguire l'autenticazione al modulo di crittografia | CMA_0021 - Eseguire l'autenticazione al modulo di crittografia | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che l'opzione Registra con Azure Active Directory sia abilitata nel Servizio app
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
| Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
| Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la versione di ".NET Framework" sia la più recente, se usata come parte dell'app Web
ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 9.6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la "versione di PHP" sia la più recente, se usata per eseguire l'app Web
ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la "versione di Python" sia la più recente, se usata per eseguire l'app Web
ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che la "versione di Java" sia la più recente, se usata per eseguire l'app Web
ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.