Dettagli dell'iniziativa predefinita SoC (System and Organization Controls) 2 (Azure per enti pubblici)
L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita Criteri di Azure conformità alle normative ai domini di conformità e ai controlli in SOC (System and Organization Controls) 2 (Azure per enti pubblici). Per altre informazioni su questo standard di conformità, vedere System and Organization Controls (SOC) 2. Per comprendere la proprietà, esaminare il tipo di criterio e La responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli SoC (System and Organization Controls) 2 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Trovare quindi e selezionare la definizione dell'iniziativa predefinita SOC 2 Type 2 Regulatory Compliance.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Criteri aggiuntivi per la disponibilità
Gestione della capacità
ID: SOC 2 Tipo 2 A1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Pianificare la capacità | CMA_C1252 - Pianificare la capacità | Manuale, Disabilitato | 1.1.0 |
Protezione ambientale, software, processi di backup dei dati e infrastruttura di ripristino
ID: SOC 2 Tipo 2 A1.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Impiegare l'illuminazione automatica di emergenza | CMA_0209 - Usare l'illuminazione automatica di emergenza | Manuale, Disabilitato | 1.1.0 |
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Implementare una metodologia di test di penetrazione | CMA_0306 - Implementare una metodologia di test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Installare un sistema di allarme | CMA_0338 - Installare un sistema di allarme | Manuale, Disabilitato | 1.1.0 |
Ripristinare e ricostituire le risorse dopo eventuali interruzioni | CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione | Manuale, Disabilitato | 1.1.1 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Trasferire le informazioni di backup in un sito di archiviazione alternativo | CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
Test del piano di ripristino
ID: SOC 2 Tipo 2 A1.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Avviare le azioni correttive del piano di emergenza | CMA_C1263 - Avviare le azioni correttive del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Esaminare i risultati dei test del piano di emergenza | CMA_C1262 - Esaminare i risultati dei test del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Testare il piano di continuità aziendale e ripristino di emergenza | CMA_0509 - Testare il piano di continuità aziendale e ripristino di emergenza | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per la riservatezza
Protezione delle informazioni riservate
ID: SOC 2 Type 2 C1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Eliminazione di informazioni riservate
ID: SOC 2 Type 2 C1.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Ambiente di controllo
Principio COSO 1
ID: SOC 2 Tipo 2 CC1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure d'uso accettabili | CMA_0143 - Sviluppare criteri e procedure d'uso accettabili | Manuale, Disabilitato | 1.1.0 |
Sviluppare il codice di comportamento dell'organizzazione | CMA_0159 - Sviluppare il codice di comportamento dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Documentare l'accettazione dei requisiti di privacy per il personale | CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale | Manuale, Disabilitato | 1.1.0 |
Applicare regole di comportamento e contratti di accesso | CMA_0248 - Applicare regole di comportamento e contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Proibire pratiche sleali | CMA_0396 - Proibire pratiche sleali | Manuale, Disabilitato | 1.1.0 |
Rivedere e firmare le regole di comportamento modificate | CMA_0465 - Rivedere e firmare le regole di comportamento modificate | Manuale, Disabilitato | 1.1.0 |
Aggiornare le regole di comportamento e i contratti di accesso | CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Aggiornare le regole di comportamento e gli accordi di accesso ogni 3 anni | CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni | Manuale, Disabilitato | 1.1.0 |
Principio COSO 2
ID: SOC 2 Tipo 2 CC1.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Nomina di un senior information security officer | CMA_C1733 - Nomina di un senior information security officer | Manuale, Disabilitato | 1.1.0 |
Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
Implementare i principi di progettazione della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Principio COSO 3
ID: SOC 2 Tipo 2 CC1.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Nomina di un senior information security officer | CMA_C1733 - Nomina di un senior information security officer | Manuale, Disabilitato | 1.1.0 |
Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
Implementare i principi di progettazione della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Principio COSO 4
ID: SOC 2 Tipo 2 CC1.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza | CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Fornire esercizi pratici basati sui ruoli | CMA_C1096 - Fornire esercizi pratici basati sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza prima di fornire l'accesso | CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
Principio COSO 5
ID: SOC 2 Tipo 2 CC1.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure d'uso accettabili | CMA_0143 - Sviluppare criteri e procedure d'uso accettabili | Manuale, Disabilitato | 1.1.0 |
Applicare regole di comportamento e contratti di accesso | CMA_0248 - Applicare regole di comportamento e contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Implementare un processo formale di sanzioni | CMA_0317 - Implementare un processo formale di sanzioni | Manuale, Disabilitato | 1.1.0 |
Notificare al personale le sanzioni | CMA_0380 - Notificare al personale le sanzioni | Manuale, Disabilitato | 1.1.0 |
Comunicazione e informazioni
Principio COSO 13
ID: SOC 2 Tipo 2 CC2.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Principio COSO 14
ID: SOC 2 Type 2 CC2.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure d'uso accettabili | CMA_0143 - Sviluppare criteri e procedure d'uso accettabili | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Applicare regole di comportamento e contratti di accesso | CMA_0248 - Applicare regole di comportamento e contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Fornire formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza | CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza prima di fornire l'accesso | CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Principio COSO 15
ID: SOC 2 Tipo 2 CC2.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i compiti dei responsabili del trattamento | CMA_0127 - Definire i compiti dei responsabili del trattamento | Manuale, Disabilitato | 1.1.0 |
Risultati della valutazione della sicurezza | CMA_C1147 - Risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza del personale di terze parti | CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Implementare i principi di progettazione della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Creare un report sulla valutazione della sicurezza | CMA_C1146 - Produrre report sulla valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | CMA_C1530 - Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Valutazione dei rischi
Principio COSO 6
ID: SOC 2 Tipo 2 CC3.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Classificare le informazioni | CMA_0052 - Classificare le informazioni | Manuale, Disabilitato | 1.1.0 |
Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare le esigenze di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare schemi di classificazione aziendale | CMA_0155 - Sviluppare schemi di classificazione aziendale | Manuale, Disabilitato | 1.1.0 |
Sviluppare un provider di servizi condivisi che soddisfi i criteri | CMA_C1492 - Sviluppare un provider di servizi condivisi che soddisfi i criteri | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Principio COSO 7
ID: SOC 2 Tipo 2 CC3.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Classificare le informazioni | CMA_0052 - Classificare le informazioni | Manuale, Disabilitato | 1.1.0 |
Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare le esigenze di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare schemi di classificazione aziendale | CMA_0155 - Sviluppare schemi di classificazione aziendale | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Principio COSO 8
ID: SOC 2 Tipo 2 CC3.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Principio COSO 9
ID: SOC 2 Tipo 2 CC3.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare il rischio nelle relazioni di terze parti | CMA_0014 - Valutare il rischio nelle relazioni di terze parti | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti per fornire beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri per la gestione dei rischi della supply chain | CMA_0275 - Stabilire criteri per la gestione dei rischi della supply chain | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Attività di monitoraggio
Principio COSO 16
ID: SOC 2 Tipo 2 CC4.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare i controlli di sicurezza | CMA_C1145 - Valutare i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di valutazione della sicurezza | CMA_C1144 - Sviluppare un piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Principio COSO 17
ID: SOC 2 Tipo 2 CC4.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Risultati della valutazione della sicurezza | CMA_C1147 - Risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Creare un report sulla valutazione della sicurezza | CMA_C1146 - Produrre report sulla valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Attività di controllo
Principio COSO 10
ID: SOC 2 Tipo 2 CC5.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Principio COSO 11
ID: SOC 2 Tipo 2 CC5.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Principio COSO 12
ID: SOC 2 Tipo 2 CC5.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare l'elenco elementi consentiti per il rilevamento | CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
Sottoposto a revisione della sicurezza indipendente | CMA_0515 - Sottoposto a revisione della sicurezza indipendente | Manuale, Disabilitato | 1.1.0 |
Controllo di accesso logiche e fisiche
Software, infrastruttura e architetture per la sicurezza dell'accesso logico
ID: SOC 2 Tipo 2 CC6.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Per gli account Servizi cognitivi è necessario abilitare la crittografia dei dati con una chiave gestita dal cliente | Le chiavi gestite dal cliente sono in genere richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. È possibile trovare altre informazioni sulle chiavi gestite dal cliente facendo riferimento a https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
I registri contenitori devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
Gestire i record di trattamento dei dati personali | CMA_0353 - Gestire i record di trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Notificare agli utenti l'accesso o l'accesso al sistema | CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema | Manuale, Disabilitato | 1.1.0 |
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled | 1.0.3 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 3.0.1 |
Provisioning e rimozione dell'accesso
ID: SOC 2 Tipo 2 CC6.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assegnare responsabili account | CMA_0015 - Assegnare responsabili account | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Privilegi di accesso ai documenti | CMA_0186 - Privilegi di accesso ai documenti | Manuale, Disabilitato | 1.1.0 |
Stabilire condizioni per l'appartenenza ai ruoli | CMA_0269 - Stabilire condizioni per l'appartenenza ai ruoli | Manuale, Disabilitato | 1.1.0 |
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
Accesso basato su Rol e privilegi minimi
ID: SOC 2 Tipo 2 CC6.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Monitorare l'assegnazione di ruolo con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Usare privileged identity management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Accesso fisico limitato
ID: SOC 2 Tipo 2 CC6.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Protezioni logiche e fisiche su asset fisici
ID: SOC 2 Tipo 2 CC6.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Misure di sicurezza contro le minacce esterne ai limiti del sistema
ID: SOC 2 Tipo 2 CC6.6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Notificare agli utenti l'accesso o l'accesso al sistema | CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema | Manuale, Disabilitato | 1.1.0 |
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 3.0.1 |
Limitare lo spostamento delle informazioni agli utenti autorizzati
ID: SOC 2 Tipo 2 CC6.7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti dei dispositivi mobili | CMA_0122 - Definire i requisiti dei dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
Gestire il trasporto delle risorse | CMA_0370 - Gestire il trasporto delle risorse | Manuale, Disabilitato | 1.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 3.0.1 |
Impedire o rilevare software non autorizzato o dannoso
ID: SOC 2 Tipo 2 CC6.8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.1 |
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.5.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Operazioni di sistema
Rilevamento e monitoraggio delle nuove vulnerabilità
ID: SOC 2 Tipo 2 CC7.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Abilitare il rilevamento dei dispositivi di rete | CMA_0220 - Abilitare il rilevamento dei dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Monitorare i componenti di sistema per il comportamento anomalo
ID: SOC 2 Tipo 2 CC7.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Rilevare i servizi di rete che non sono stati autorizzati o approvati | CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Rilevamento degli eventi imprevisti di sicurezza
ID: SOC 2 Tipo 2 CC7.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Risposta agli eventi imprevisti di sicurezza
ID: SOC 2 Tipo 2 CC7.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Identificare le classi di eventi imprevisti e azioni eseguite | CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Includere la riconfigzione dinamica delle risorse distribuite dai clienti | CMA_C1364 - Includere la riconfigzione dinamica delle risorse distribuite dai clienti | Manuale, Disabilitato | 1.1.0 |
Gestire il piano di risposta agli eventi imprevisti | CMA_0352 - Gestire il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Ripristino da eventi imprevisti di sicurezza identificati
ID: SOC 2 Type 2 CC7.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire test di risposta agli eventi imprevisti | CMA_0060 - Eseguire test di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Coordinarsi con organizzazioni esterne per ottenere una prospettiva cross-org | CMA_C1368 - Coordinarsi con organizzazioni esterne per ottenere una prospettiva incrociata dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Gestire il piano di risposta agli eventi imprevisti | CMA_0352 - Gestire il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Gestione delle modifiche
Modifiche all'infrastruttura, ai dati e al software
ID: SOC 2 Tipo 2 CC8.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire uno standard gestione delle vulnerabilità | CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.1 |
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.5.0 |
Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Mitigazione dei rischi
Attività di mitigazione dei rischi
ID: SOC 2 Tipo 2 CC9.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare le esigenze di protezione delle informazioni | CMA_C1750 - Determinare le esigenze di protezione delle informazioni | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Gestione dei rischi per fornitori e partner commerciali
ID: SOC 2 Tipo 2 CC9.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare il rischio nelle relazioni di terze parti | CMA_0014 - Valutare il rischio nelle relazioni di terze parti | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti per fornire beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
Definire i compiti dei responsabili del trattamento | CMA_0127 - Definire i compiti dei responsabili del trattamento | Manuale, Disabilitato | 1.1.0 |
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri per la gestione dei rischi della supply chain | CMA_0275 - Stabilire criteri per la gestione dei rischi della supply chain | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza del personale di terze parti | CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
Monitorare la conformità del provider di terze parti | CMA_C1533 - Monitorare la conformità del provider di terze parti | Manuale, Disabilitato | 1.1.0 |
Registrare la divulgazione di informazioni personali a terze parti | CMA_0422 - Registrare la divulgazione di informazioni personali a terze parti | Manuale, Disabilitato | 1.1.0 |
Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | CMA_C1530 - Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | CMA_C1871 - Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per la privacy
Informativa sulla privacy
ID: SOC 2 Tipo 2 P1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare e distribuire un'informativa sulla privacy | CMA_0188 - Documentare e distribuire un'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che le informazioni sul programma di privacy siano disponibili pubblicamente | CMA_C1867 - Assicurarsi che le informazioni sul programma di privacy siano disponibili pubblicamente | Manuale, Disabilitato | 1.1.0 |
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy al pubblico e agli utenti | CMA_C1861 - Fornire l'informativa sulla privacy al pubblico e agli utenti | Manuale, Disabilitato | 1.1.0 |
Consenso alla privacy
ID: SOC 2 Type 2 P2.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare l'accettazione dei requisiti di privacy per il personale | CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale | Manuale, Disabilitato | 1.1.0 |
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Ottenere il consenso prima della raccolta o del trattamento dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Raccolta coerente di informazioni personali
ID: SOC 2 Tipo 2 P3.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare l'autorità legale per raccogliere informazioni personali | CMA_C1800 - Determinare l'autorità legale per raccogliere informazioni personali | Manuale, Disabilitato | 1.1.0 |
Processo del documento per garantire l'integrità delle informazioni personali | CMA_C1827 - Processo di documento per garantire l'integrità delle informazioni personali | Manuale, Disabilitato | 1.1.0 |
Valutare ed esaminare regolarmente le aziende di informazioni personali | CMA_C1832 - Valutare ed esaminare regolarmente le attività personali | Manuale, Disabilitato | 1.1.0 |
Ottenere il consenso prima della raccolta o del trattamento dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Consenso esplicito per le informazioni personali
ID: SOC 2 Tipo 2 P3.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Raccogliere informazioni personali direttamente dall'utente | CMA_C1822 - Raccogliere informazioni personali direttamente dall'utente | Manuale, Disabilitato | 1.1.0 |
Ottenere il consenso prima della raccolta o del trattamento dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Uso delle informazioni personali
ID: SOC 2 Tipo 2 P4.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare la base giuridica per l'elaborazione delle informazioni personali | CMA_0206 - Documentare la base giuridica per il trattamento delle informazioni personali | Manuale, Disabilitato | 1.1.0 |
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Ottenere il consenso prima della raccolta o del trattamento dei dati personali | CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Conservazione delle informazioni personali
ID: SOC 2 Tipo 2 P4.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
Processo del documento per garantire l'integrità delle informazioni personali | CMA_C1827 - Processo di documento per garantire l'integrità delle informazioni personali | Manuale, Disabilitato | 1.1.0 |
Eliminazione delle informazioni personali
ID: SOC 2 Tipo 2 P4.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire la revisione per l'eliminazione | CMA_0391 - Eseguire la revisione per l'eliminazione | Manuale, Disabilitato | 1.1.0 |
Verificare che i dati personali vengano eliminati alla fine del trattamento | CMA_0540 - Verificare che i dati personali vengano eliminati alla fine del trattamento | Manuale, Disabilitato | 1.1.0 |
Accesso alle informazioni personali
ID: SOC 2 Tipo 2 P5.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare metodi per le richieste consumer | CMA_0319 - Implementare metodi per le richieste consumer | Manuale, Disabilitato | 1.1.0 |
Pubblicare regole e normative che accedono ai record di Privacy Act | CMA_C1847 - Pubblicare regole e normative che accedono ai record di Privacy Act | Manuale, Disabilitato | 1.1.0 |
Correzione delle informazioni personali
ID: SOC 2 Tipo 2 P5.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Rispondere alle richieste di rettifica | CMA_0442 - Rispondere alle richieste di rettifica | Manuale, Disabilitato | 1.1.0 |
Divulgazione di informazioni personali di terze parti
ID: SOC 2 Tipo 2 P6.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i compiti dei responsabili del trattamento | CMA_0127 - Definire i compiti dei responsabili del trattamento | Manuale, Disabilitato | 1.1.0 |
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di privacy per terzisti e provider di servizi | CMA_C1810 - Stabilire i requisiti di privacy per terzisti e provider di servizi | Manuale, Disabilitato | 1.1.0 |
Registrare la divulgazione di informazioni personali a terze parti | CMA_0422 - Registrare la divulgazione di informazioni personali a terze parti | Manuale, Disabilitato | 1.1.0 |
Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | CMA_C1871 - Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | Manuale, Disabilitato | 1.1.0 |
Divulgazione autorizzata del record di informazioni personali
ID: SOC 2 Tipo 2 P6.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Tenere una contabilità accurata delle divulgazioni di informazioni | CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
Divulgazione non autorizzata del record di informazioni personali
ID: SOC 2 Tipo 2 P6.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Tenere una contabilità accurata delle divulgazioni di informazioni | CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
Contratti di terze parti
ID: SOC 2 Tipo 2 P6.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i compiti dei responsabili del trattamento | CMA_0127 - Definire i compiti dei responsabili del trattamento | Manuale, Disabilitato | 1.1.0 |
Notifica di divulgazione non autorizzata di terze parti
ID: SOC 2 Tipo 2 P6.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Sicurezza delle informazioni e protezione dei dati personali | CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali | Manuale, Disabilitato | 1.1.0 |
Notifica degli eventi imprevisti sulla privacy
ID: SOC 2 Tipo 2 P6.6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sicurezza delle informazioni e protezione dei dati personali | CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali | Manuale, Disabilitato | 1.1.0 |
Contabilità della divulgazione di informazioni personali
ID: SOC 2 Tipo 2 P6.7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Tenere una contabilità accurata delle divulgazioni di informazioni | CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni | Manuale, Disabilitato | 1.1.0 |
Rendere disponibile la contabilità delle divulgazioni su richiesta | CMA_C1820 - Rendere disponibile la contabilità delle divulgazioni su richiesta | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Qualità delle informazioni personali
ID: SOC 2 Tipo 2 P7.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare la qualità e l'integrità delle informazioni personali | CMA_C1821 - Confermare la qualità e l'integrità delle informazioni personali | Manuale, Disabilitato | 1.1.0 |
Linee guida relative ai problemi per garantire la qualità e l'integrità dei dati | CMA_C1824 - Linee guida relative ai problemi per garantire la qualità e l'integrità dei dati | Manuale, Disabilitato | 1.1.0 |
Verificare informazioni personali non accurate o obsolete | CMA_C1823 - Verificare informazioni personali non accurate o obsolete | Manuale, Disabilitato | 1.1.0 |
Gestione dei reclami sulla privacy e gestione della conformità
ID: SOC 2 Tipo 2 P8.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare e implementare procedure di reclamo sulla privacy | CMA_0189 - Documentare e implementare procedure di reclamo sulla privacy | Manuale, Disabilitato | 1.1.0 |
Valutare ed esaminare regolarmente le aziende di informazioni personali | CMA_C1832 - Valutare ed esaminare regolarmente le attività personali | Manuale, Disabilitato | 1.1.0 |
Sicurezza delle informazioni e protezione dei dati personali | CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali | Manuale, Disabilitato | 1.1.0 |
Rispondere tempestivamente a reclami, preoccupazioni o domande | CMA_C1853 - Rispondere tempestivamente a reclami, preoccupazioni o domande | Manuale, Disabilitato | 1.1.0 |
Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | CMA_C1871 - Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze | Manuale, Disabilitato | 1.1.0 |
Criteri aggiuntivi per l'integrità dell'elaborazione
Definizioni di elaborazione dati
ID: SOC 2 Tipo 2 PI1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare i metodi di recapito delle informative sulla privacy | CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy | Manuale, Disabilitato | 1.1.0 |
Fornire l'informativa sulla privacy | CMA_0414 - Fornire l'informativa sulla privacy | Manuale, Disabilitato | 1.1.0 |
Limitare le comunicazioni | CMA_0449 - Limitare le comunicazioni | Manuale, Disabilitato | 1.1.0 |
Input di sistema su completezza e accuratezza
ID: SOC 2 Tipo 2 PI1.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire la convalida dell'input delle informazioni | CMA_C1723 - Eseguire la convalida dell'input delle informazioni | Manuale, Disabilitato | 1.1.0 |
Elaborazione del sistema
ID: SOC 2 Tipo 2 PI1.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Generare messaggi di errore | CMA_C1724 - Generare messaggi di errore | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Eseguire la convalida dell'input delle informazioni | CMA_C1723 - Eseguire la convalida dell'input delle informazioni | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
L'output del sistema è completo, accurato e tempestivo
ID: SOC 2 Tipo 2 PI1.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Archiviare completamente input e output, in modo accurato e tempestivo
ID: SOC 2 Tipo 2 PI1.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per