Dettagli dell'iniziativa predefinita SoC (System and Organization Controls) 2 (Azure per enti pubblici)

Articolo
07/02/2024

L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita Criteri di Azure conformità alle normative ai domini di conformità e ai controlli in SOC (System and Organization Controls) 2 (Azure per enti pubblici). Per altre informazioni su questo standard di conformità, vedere System and Organization Controls (SOC) 2. Per comprendere la proprietà, esaminare il tipo di criterio e La responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli SoC (System and Organization Controls) 2 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Trovare quindi e selezionare la definizione dell'iniziativa predefinita SOC 2 Type 2 Regulatory Compliance.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

Criteri aggiuntivi per la disponibilità

Gestione della capacità

ID: SOC 2 Tipo 2 A1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Pianificare la capacità	CMA_C1252 - Pianificare la capacità	Manuale, Disabilitato	1.1.0

Protezione ambientale, software, processi di backup dei dati e infrastruttura di ripristino

ID: SOC 2 Tipo 2 A1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
Impiegare l'illuminazione automatica di emergenza	CMA_0209 - Usare l'illuminazione automatica di emergenza	Manuale, Disabilitato	1.1.0
Stabilire un sito di elaborazione alternativo	CMA_0262 - Stabilire un sito di elaborazione alternativo	Manuale, Disabilitato	1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB	Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL	Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL	Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Implementare una metodologia di test di penetrazione	CMA_0306 - Implementare una metodologia di test di penetrazione	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	Manuale, Disabilitato	1.1.0
Installare un sistema di allarme	CMA_0338 - Installare un sistema di allarme	Manuale, Disabilitato	1.1.0
Ripristinare e ricostituire le risorse dopo eventuali interruzioni	CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione	Manuale, Disabilitato	1.1.1
Eseguire attacchi di simulazione	CMA_0486 - Eseguire attacchi di simulazione	Manuale, Disabilitato	1.1.0
Archiviare separatamente le informazioni di backup	CMA_C1293 - Archiviare separatamente le informazioni di backup	Manuale, Disabilitato	1.1.0
Trasferire le informazioni di backup in un sito di archiviazione alternativo	CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo	Manuale, Disabilitato	1.1.0

Test del piano di ripristino

ID: SOC 2 Tipo 2 A1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Avviare le azioni correttive del piano di emergenza	CMA_C1263 - Avviare le azioni correttive del piano di emergenza	Manuale, Disabilitato	1.1.0
Esaminare i risultati dei test del piano di emergenza	CMA_C1262 - Esaminare i risultati dei test del piano di emergenza	Manuale, Disabilitato	1.1.0
Testare il piano di continuità aziendale e ripristino di emergenza	CMA_0509 - Testare il piano di continuità aziendale e ripristino di emergenza	Manuale, Disabilitato	1.1.0

Criteri aggiuntivi per la riservatezza

Protezione delle informazioni riservate

ID: SOC 2 Type 2 C1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Eliminazione di informazioni riservate

ID: SOC 2 Type 2 C1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Ambiente di controllo

Principio COSO 1

ID: SOC 2 Tipo 2 CC1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare criteri e procedure d'uso accettabili	CMA_0143 - Sviluppare criteri e procedure d'uso accettabili	Manuale, Disabilitato	1.1.0
Sviluppare il codice di comportamento dell'organizzazione	CMA_0159 - Sviluppare il codice di comportamento dell'organizzazione	Manuale, Disabilitato	1.1.0
Documentare l'accettazione dei requisiti di privacy per il personale	CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale	Manuale, Disabilitato	1.1.0
Applicare regole di comportamento e contratti di accesso	CMA_0248 - Applicare regole di comportamento e contratti di accesso	Manuale, Disabilitato	1.1.0
Proibire pratiche sleali	CMA_0396 - Proibire pratiche sleali	Manuale, Disabilitato	1.1.0
Rivedere e firmare le regole di comportamento modificate	CMA_0465 - Rivedere e firmare le regole di comportamento modificate	Manuale, Disabilitato	1.1.0
Aggiornare le regole di comportamento e i contratti di accesso	CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso	Manuale, Disabilitato	1.1.0
Aggiornare le regole di comportamento e gli accordi di accesso ogni 3 anni	CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni	Manuale, Disabilitato	1.1.0

Principio COSO 2

ID: SOC 2 Tipo 2 CC1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Nomina di un senior information security officer	CMA_C1733 - Nomina di un senior information security officer	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Implementare i principi di progettazione della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0

Principio COSO 3

ID: SOC 2 Tipo 2 CC1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Nomina di un senior information security officer	CMA_C1733 - Nomina di un senior information security officer	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Implementare i principi di progettazione della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0

Principio COSO 4

ID: SOC 2 Tipo 2 CC1.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Fornire formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza	CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza	Manuale, Disabilitato	1.1.0
Fornire esercizi pratici basati sui ruoli	CMA_C1096 - Fornire esercizi pratici basati sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza prima di fornire l'accesso	CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza per i nuovi utenti	CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti	Manuale, Disabilitato	1.1.0

Principio COSO 5

ID: SOC 2 Tipo 2 CC1.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare criteri e procedure d'uso accettabili	CMA_0143 - Sviluppare criteri e procedure d'uso accettabili	Manuale, Disabilitato	1.1.0
Applicare regole di comportamento e contratti di accesso	CMA_0248 - Applicare regole di comportamento e contratti di accesso	Manuale, Disabilitato	1.1.0
Implementare un processo formale di sanzioni	CMA_0317 - Implementare un processo formale di sanzioni	Manuale, Disabilitato	1.1.0
Notificare al personale le sanzioni	CMA_0380 - Notificare al personale le sanzioni	Manuale, Disabilitato	1.1.0

Comunicazione e informazioni

Principio COSO 13

ID: SOC 2 Tipo 2 CC2.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Principio COSO 14

ID: SOC 2 Type 2 CC2.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare criteri e procedure d'uso accettabili	CMA_0143 - Sviluppare criteri e procedure d'uso accettabili	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Applicare regole di comportamento e contratti di accesso	CMA_0248 - Applicare regole di comportamento e contratti di accesso	Manuale, Disabilitato	1.1.0
Fornire formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza	CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza prima di fornire l'accesso	CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza per i nuovi utenti	CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

Principio COSO 15

ID: SOC 2 Tipo 2 CC2.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire i compiti dei responsabili del trattamento	CMA_0127 - Definire i compiti dei responsabili del trattamento	Manuale, Disabilitato	1.1.0
Risultati della valutazione della sicurezza	CMA_C1147 - Risultati della valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza del personale di terze parti	CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti	Manuale, Disabilitato	1.1.0
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Implementare i principi di progettazione della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0
Creare un report sulla valutazione della sicurezza	CMA_C1146 - Produrre report sulla valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale	CMA_C1530 - Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

Valutazione dei rischi

Principio COSO 6

ID: SOC 2 Tipo 2 CC3.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Classificare le informazioni	CMA_0052 - Classificare le informazioni	Manuale, Disabilitato	1.1.0
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare le esigenze di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare schemi di classificazione aziendale	CMA_0155 - Sviluppare schemi di classificazione aziendale	Manuale, Disabilitato	1.1.0
Sviluppare un provider di servizi condivisi che soddisfi i criteri	CMA_C1492 - Sviluppare un provider di servizi condivisi che soddisfi i criteri	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Principio COSO 7

ID: SOC 2 Tipo 2 CC3.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Classificare le informazioni	CMA_0052 - Classificare le informazioni	Manuale, Disabilitato	1.1.0
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare le esigenze di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Sviluppare schemi di classificazione aziendale	CMA_0155 - Sviluppare schemi di classificazione aziendale	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL	Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

Principio COSO 8

ID: SOC 2 Tipo 2 CC3.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Principio COSO 9

ID: SOC 2 Tipo 2 CC3.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare il rischio nelle relazioni di terze parti	CMA_0014 - Valutare il rischio nelle relazioni di terze parti	Manuale, Disabilitato	1.1.0
Definire i requisiti per fornire beni e servizi	CMA_0126 - Definire i requisiti per la fornitura di beni e servizi	Manuale, Disabilitato	1.1.0
Determinare gli obblighi del contratto fornitore	CMA_0140 - Determinare gli obblighi del contratto fornitore	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire criteri per la gestione dei rischi della supply chain	CMA_0275 - Stabilire criteri per la gestione dei rischi della supply chain	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Attività di monitoraggio

Principio COSO 16

ID: SOC 2 Tipo 2 CC4.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare i controlli di sicurezza	CMA_C1145 - Valutare i controlli di sicurezza	Manuale, Disabilitato	1.1.0
Sviluppare un piano di valutazione della sicurezza	CMA_C1144 - Sviluppare un piano di valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza	CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza	Manuale, Disabilitato	1.1.0

Principio COSO 17

ID: SOC 2 Tipo 2 CC4.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Risultati della valutazione della sicurezza	CMA_C1147 - Risultati della valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Creare un report sulla valutazione della sicurezza	CMA_C1146 - Produrre report sulla valutazione della sicurezza	Manuale, Disabilitato	1.1.0

Attività di controllo

Principio COSO 10

ID: SOC 2 Tipo 2 CC5.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Principio COSO 11

ID: SOC 2 Tipo 2 CC5.2 Proprietà: Condiviso

Principio COSO 12

ID: SOC 2 Tipo 2 CC5.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Configurare l'elenco elementi consentiti per il rilevamento	CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0
Sottoposto a revisione della sicurezza indipendente	CMA_0515 - Sottoposto a revisione della sicurezza indipendente	Manuale, Disabilitato	1.1.0

Controllo di accesso logiche e fisiche

Software, infrastruttura e architetture per la sicurezza dell'accesso logico

ID: SOC 2 Tipo 2 CC6.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari	È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso.	AuditIfNotExists, Disabled	3.0.0
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
servizio app le app devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH	Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Le variabili dell'account di automazione devono essere crittografate	È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili	Audit, Deny, Disabled	1.1.0
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente	Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk.	Audit, Deny, Disabled	1.0.3
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Per gli account Servizi cognitivi è necessario abilitare la crittografia dei dati con una chiave gestita dal cliente	Le chiavi gestite dal cliente sono in genere richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. È possibile trovare altre informazioni sulle chiavi gestite dal cliente facendo riferimento a https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Deny, Disabled	2.1.0
I registri contenitori devono essere crittografati con una chiave gestita dal cliente	Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK.	Audit, Deny, Disabled	1.1.2
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Creare un inventario dati	CMA_0096 - Creare un inventario dati	Manuale, Disabilitato	1.1.0
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Documentare il training sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida per l'accesso remoto	CMA_0196 - Documentare le linee guida per l'accesso remoto	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione più recente di TLS	Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.0.1
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi	L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita.	Audit, Deny, Disabled	2.1.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea	L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile.	Audit, Deny, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Gestire i record di trattamento dei dati personali	CMA_0353 - Gestire i record di trattamento dei dati personali	Manuale, Disabilitato	1.1.0
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Notificare agli utenti l'accesso o l'accesso al sistema	CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema	Manuale, Disabilitato	1.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign	Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente	Audit, Deny, Disabled	1.1.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.1
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK	Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia	Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico.	Audit, Disabled	1.0.3
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
Alla sottoscrizione deve essere assegnato più di un proprietario	È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore.	AuditIfNotExists, Disabled	3.0.0
È consigliabile abilitare Transparent Data Encryption nei database SQL	Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità	AuditIfNotExists, Disabled	2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Provisioning e rimozione dell'accesso

ID: SOC 2 Tipo 2 CC6.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Assegnare responsabili account	CMA_0015 - Assegnare responsabili account	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Privilegi di accesso ai documenti	CMA_0186 - Privilegi di accesso ai documenti	Manuale, Disabilitato	1.1.0
Stabilire condizioni per l'appartenenza ai ruoli	CMA_0269 - Stabilire condizioni per l'appartenenza ai ruoli	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Esaminare i log di provisioning degli account	CMA_0460 - Esaminare i log di provisioning degli account	Manuale, Disabilitato	1.1.0
Esaminare gli account utente	CMA_0480 - Esaminare gli account utente	Manuale, Disabilitato	1.1.0

Accesso basato su Rol e privilegi minimi

ID: SOC 2 Tipo 2 CC6.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari	È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso.	AuditIfNotExists, Disabled	3.0.0
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati	Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce	Audit, Disabled	1.0.1
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes	Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti.	Audit, Disabled	1.0.3
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Monitorare l'assegnazione di ruolo con privilegi	CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Esaminare i log di provisioning degli account	CMA_0460 - Esaminare i log di provisioning degli account	Manuale, Disabilitato	1.1.0
Esaminare gli account utente	CMA_0480 - Esaminare gli account utente	Manuale, Disabilitato	1.1.0
Esaminare i privilegi utente	CMA_C1039 - Esaminare i privilegi utente	Manuale, Disabilitato	1.1.0
Revocare i ruoli con privilegi in base alle esigenze	CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze	Manuale, Disabilitato	1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario	È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore.	AuditIfNotExists, Disabled	3.0.0
Usare privileged identity management	CMA_0533 - Usare Privileged Identity Management	Manuale, Disabilitato	1.1.0

Accesso fisico limitato

ID: SOC 2 Tipo 2 CC6.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0

Protezioni logiche e fisiche su asset fisici

ID: SOC 2 Tipo 2 CC6.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Usare un meccanismo di purificazione dei supporti	CMA_0208 - Usare un meccanismo di purificazione dei supporti	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0

Misure di sicurezza contro le minacce esterne ai limiti del sistema

ID: SOC 2 Tipo 2 CC6.6 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
servizio app le app devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH	Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure	Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate.	Audit, Deny, Disabled	1.0.2
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Documentare il training sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida per l'accesso remoto	CMA_0196 - Documentare le linee guida per l'accesso remoto	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione più recente di TLS	Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.0.1
Identificare ed autenticare i dispositivi di rete	CMA_0296 - Identificare ed autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato	L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete.	AuditIfNotExists, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Notificare agli utenti l'accesso o l'accesso al sistema	CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema	Manuale, Disabilitato	1.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione	Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate.	Audit, Deny, Disabled	2.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Limitare lo spostamento delle informazioni agli utenti autorizzati

ID: SOC 2 Tipo 2 CC6.7 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
servizio app le app devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Definire i requisiti dei dispositivi mobili	CMA_0122 - Definire i requisiti dei dispositivi mobili	Manuale, Disabilitato	1.1.0
Usare un meccanismo di purificazione dei supporti	CMA_0208 - Usare un meccanismo di purificazione dei supporti	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	5.0.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono usare la versione più recente di TLS	Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.0.1
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS	L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Gestire il trasporto delle risorse	CMA_0370 - Gestire il trasporto delle risorse	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis	Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	1.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	3.0.1

Impedire o rilevare software non autorizzato o dannoso

ID: SOC 2 Tipo 2 CC6.8 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)"	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecato
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer	Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note.	AuditIfNotExists, Disabled	3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate	Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1.	AuditIfNotExists, Disabled	1.0.0
servizio app le app devono avere il debug remoto disattivato	Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app.	AuditIfNotExists, Disabled	2.0.0
servizio app le app devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster	Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente.	Audit, Disabled	1.0.2
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali	Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità.	AuditIfNotExists, Disabled	3.0.0
Le app per le funzioni devono avere il debug remoto disattivato	Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
L'estensione configurazione guest deve essere installata nei computer	Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati	Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host	Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti	I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti	Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite	Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.1
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura	Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti	Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati	Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati	Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite	Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Il cluster Kubernetes non deve consentire contenitori con privilegi	Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.0
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato	Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori	Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	8.1.0
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN	Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito	Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.5.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure	I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.1.0
Devono essere installate solo le estensioni macchina virtuale approvate	Questo criterio regolamenta le estensioni macchina virtuale non approvate.	Audit, Deny, Disabled	1.0.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili	Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione.	Audit, Deny, Disabled	1.0.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0
Verificare l'integrità del software, del firmware e delle informazioni	CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni	Manuale, Disabilitato	1.1.0
Visualizzare e configurare i dati di diagnostica del sistema	CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema	Manuale, Disabilitato	1.1.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema	L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.1
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.0.0

Operazioni di sistema

Rilevamento e monitoraggio delle nuove vulnerabilità

ID: SOC 2 Tipo 2 CC7.1 Proprietà: Condiviso

Monitorare i componenti di sistema per il comportamento anomalo

ID: SOC 2 Tipo 2 CC7.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata	Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Disabled	4.0.1-preview
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	3.0.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Azure Defender per i server di database SQL di Azure deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Azure Defender per Resource Manager deve essere abilitato	Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center .	AuditIfNotExists, Disabled	1.0.0
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti	Controlla server SQL senza Sicurezza dei dati avanzata	AuditIfNotExists, Disabled	2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette	Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata.	AuditIfNotExists, Disabled	1.0.2
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire e monitorare le attività di elaborazione dei controlli	CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli	Manuale, Disabilitato	1.1.0
Microsoft Defender per contenitori deve essere abilitato	Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud.	AuditIfNotExists, Disabled	1.0.0
Microsoft Defender per Archiviazione (versione classica) deve essere abilitato	Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione.	AuditIfNotExists, Disabled	1.0.4
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali	Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows).	AuditIfNotExists, Disabled	1.1.1

Rilevamento degli eventi imprevisti di sicurezza

ID: SOC 2 Tipo 2 CC7.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0

Risposta agli eventi imprevisti di sicurezza

ID: SOC 2 Tipo 2 CC7.4 Proprietà: Condiviso

Ripristino da eventi imprevisti di sicurezza identificati

ID: SOC 2 Type 2 CC7.5 Proprietà: Condiviso

Gestione delle modifiche

Modifiche all'infrastruttura, ai dati e al software

ID: SOC 2 Tipo 2 CC8.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)"	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecato
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1.	AuditIfNotExists, Disabled	1.0.0
servizio app le app devono avere il debug remoto disattivato	Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app.	AuditIfNotExists, Disabled	2.0.0
servizio app le app devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster	Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente.	Audit, Disabled	1.0.2
Eseguire un'analisi dell'impatto sulla sicurezza	CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza	Manuale, Disabilitato	1.1.0
Configurare le azioni per i dispositivi non conformi	CMA_0062 - Configurare le azioni per i dispositivi non conformi	Manuale, Disabilitato	1.1.0
Sviluppare e gestire uno standard gestione delle vulnerabilità	CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità	Manuale, Disabilitato	1.1.0
Sviluppare e gestire configurazioni di base	CMA_0153 - Sviluppare e gestire configurazioni di base	Manuale, Disabilitato	1.1.0
Applicare le impostazioni di configurazione della sicurezza	CMA_0249 - Applicare le impostazioni di configurazione della sicurezza	Manuale, Disabilitato	1.1.0
Stabilire una scheda di controllo della configurazione	CMA_0254 - Stabilire una scheda di controllo della configurazione	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Stabilire e documentare un piano di gestione della configurazione	CMA_0264 - Stabilire e documentare un piano di gestione della configurazione	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori	CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono avere il debug remoto disattivato	Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app	Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente.	AuditIfNotExists, Disabled	2.0.0
Le app per le funzioni devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
L'estensione configurazione guest deve essere installata nei computer	Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Implementare uno strumento di gestione della configurazione automatizzato	CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato	Manuale, Disabilitato	1.1.0
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati	Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host	Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti	I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti	Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite	Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.1
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura	Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti	Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati	Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.1
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati	Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	7.1.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite	Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	9.1.0
Il cluster Kubernetes non deve consentire contenitori con privilegi	Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	10.1.0
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato	Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori	Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	8.1.0
I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN	Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	6.1.0
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito	Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc.	audit, Audit, Deny, Deny, disabled, Disabled	5.1.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.5.0
Devono essere installate solo le estensioni macchina virtuale approvate	Questo criterio regolamenta le estensioni macchina virtuale non approvate.	Audit, Deny, Disabled	1.0.0
Eseguire una valutazione dell'impatto sulla privacy	CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione	CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili	Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione.	Audit, Deny, Disabled	1.0.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema	L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.1
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure.	AuditIfNotExists, Disabled	1.0.0

Mitigazione dei rischi

Attività di mitigazione dei rischi

ID: SOC 2 Tipo 2 CC9.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare le esigenze di protezione delle informazioni	CMA_C1750 - Determinare le esigenze di protezione delle informazioni	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0

Gestione dei rischi per fornitori e partner commerciali

ID: SOC 2 Tipo 2 CC9.2 Proprietà: Condiviso

Criteri aggiuntivi per la privacy

Informativa sulla privacy

ID: SOC 2 Tipo 2 P1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare e distribuire un'informativa sulla privacy	CMA_0188 - Documentare e distribuire un'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Assicurarsi che le informazioni sul programma di privacy siano disponibili pubblicamente	CMA_C1867 - Assicurarsi che le informazioni sul programma di privacy siano disponibili pubblicamente	Manuale, Disabilitato	1.1.0
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy al pubblico e agli utenti	CMA_C1861 - Fornire l'informativa sulla privacy al pubblico e agli utenti	Manuale, Disabilitato	1.1.0

ID: SOC 2 Type 2 P2.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare l'accettazione dei requisiti di privacy per il personale	CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale	Manuale, Disabilitato	1.1.0
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o del trattamento dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0

Raccolta coerente di informazioni personali

ID: SOC 2 Tipo 2 P3.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare l'autorità legale per raccogliere informazioni personali	CMA_C1800 - Determinare l'autorità legale per raccogliere informazioni personali	Manuale, Disabilitato	1.1.0
Processo del documento per garantire l'integrità delle informazioni personali	CMA_C1827 - Processo di documento per garantire l'integrità delle informazioni personali	Manuale, Disabilitato	1.1.0
Valutare ed esaminare regolarmente le aziende di informazioni personali	CMA_C1832 - Valutare ed esaminare regolarmente le attività personali	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o del trattamento dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali	Manuale, Disabilitato	1.1.0

ID: SOC 2 Tipo 2 P3.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Raccogliere informazioni personali direttamente dall'utente	CMA_C1822 - Raccogliere informazioni personali direttamente dall'utente	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o del trattamento dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali	Manuale, Disabilitato	1.1.0

Uso delle informazioni personali

ID: SOC 2 Tipo 2 P4.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare la base giuridica per l'elaborazione delle informazioni personali	CMA_0206 - Documentare la base giuridica per il trattamento delle informazioni personali	Manuale, Disabilitato	1.1.0
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Ottenere il consenso prima della raccolta o del trattamento dei dati personali	CMA_0385 - Ottenere il consenso prima della raccolta o del trattamento dei dati personali	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Conservazione delle informazioni personali

ID: SOC 2 Tipo 2 P4.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
Processo del documento per garantire l'integrità delle informazioni personali	CMA_C1827 - Processo di documento per garantire l'integrità delle informazioni personali	Manuale, Disabilitato	1.1.0

Eliminazione delle informazioni personali

ID: SOC 2 Tipo 2 P4.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la revisione per l'eliminazione	CMA_0391 - Eseguire la revisione per l'eliminazione	Manuale, Disabilitato	1.1.0
Verificare che i dati personali vengano eliminati alla fine del trattamento	CMA_0540 - Verificare che i dati personali vengano eliminati alla fine del trattamento	Manuale, Disabilitato	1.1.0

Accesso alle informazioni personali

ID: SOC 2 Tipo 2 P5.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare metodi per le richieste consumer	CMA_0319 - Implementare metodi per le richieste consumer	Manuale, Disabilitato	1.1.0
Pubblicare regole e normative che accedono ai record di Privacy Act	CMA_C1847 - Pubblicare regole e normative che accedono ai record di Privacy Act	Manuale, Disabilitato	1.1.0

Correzione delle informazioni personali

ID: SOC 2 Tipo 2 P5.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Rispondere alle richieste di rettifica	CMA_0442 - Rispondere alle richieste di rettifica	Manuale, Disabilitato	1.1.0

Divulgazione di informazioni personali di terze parti

ID: SOC 2 Tipo 2 P6.1 Proprietà: Condiviso

Divulgazione autorizzata del record di informazioni personali

ID: SOC 2 Tipo 2 P6.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Tenere una contabilità accurata delle divulgazioni di informazioni	CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0

Divulgazione non autorizzata del record di informazioni personali

ID: SOC 2 Tipo 2 P6.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Tenere una contabilità accurata delle divulgazioni di informazioni	CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0

Contratti di terze parti

ID: SOC 2 Tipo 2 P6.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Definire i compiti dei responsabili del trattamento	CMA_0127 - Definire i compiti dei responsabili del trattamento	Manuale, Disabilitato	1.1.0

Notifica di divulgazione non autorizzata di terze parti

ID: SOC 2 Tipo 2 P6.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare gli obblighi del contratto fornitore	CMA_0140 - Determinare gli obblighi del contratto fornitore	Manuale, Disabilitato	1.1.0
Criteri di accettazione del contratto di acquisizione documenti	CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti	Manuale, Disabilitato	1.1.0
Protezione dei dati personali nei contratti di acquisizione	CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione	CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Requisiti dei documenti per l'uso dei dati condivisi nei contratti	CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti	Manuale, Disabilitato	1.1.0
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione	CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione	CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione	CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti di sicurezza nei contratti di acquisizione	CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione	CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	Manuale, Disabilitato	1.1.0
Sicurezza delle informazioni e protezione dei dati personali	CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali	Manuale, Disabilitato	1.1.0

Notifica degli eventi imprevisti sulla privacy

ID: SOC 2 Tipo 2 P6.6 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Sicurezza delle informazioni e protezione dei dati personali	CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali	Manuale, Disabilitato	1.1.0

Contabilità della divulgazione di informazioni personali

ID: SOC 2 Tipo 2 P6.7 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Tenere una contabilità accurata delle divulgazioni di informazioni	CMA_C1818 - Tenere una contabilità accurata delle divulgazioni di informazioni	Manuale, Disabilitato	1.1.0
Rendere disponibile la contabilità delle divulgazioni su richiesta	CMA_C1820 - Rendere disponibile la contabilità delle divulgazioni su richiesta	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Qualità delle informazioni personali

ID: SOC 2 Tipo 2 P7.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Verificare la qualità e l'integrità delle informazioni personali	CMA_C1821 - Confermare la qualità e l'integrità delle informazioni personali	Manuale, Disabilitato	1.1.0
Linee guida relative ai problemi per garantire la qualità e l'integrità dei dati	CMA_C1824 - Linee guida relative ai problemi per garantire la qualità e l'integrità dei dati	Manuale, Disabilitato	1.1.0
Verificare informazioni personali non accurate o obsolete	CMA_C1823 - Verificare informazioni personali non accurate o obsolete	Manuale, Disabilitato	1.1.0

Gestione dei reclami sulla privacy e gestione della conformità

ID: SOC 2 Tipo 2 P8.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare e implementare procedure di reclamo sulla privacy	CMA_0189 - Documentare e implementare procedure di reclamo sulla privacy	Manuale, Disabilitato	1.1.0
Valutare ed esaminare regolarmente le aziende di informazioni personali	CMA_C1832 - Valutare ed esaminare regolarmente le attività personali	Manuale, Disabilitato	1.1.0
Sicurezza delle informazioni e protezione dei dati personali	CMA_0332 - Sicurezza delle informazioni e protezione dei dati personali	Manuale, Disabilitato	1.1.0
Rispondere tempestivamente a reclami, preoccupazioni o domande	CMA_C1853 - Rispondere tempestivamente a reclami, preoccupazioni o domande	Manuale, Disabilitato	1.1.0
Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze	CMA_C1871 - Formare il personale sulla condivisione delle informazioni personali e sulle sue conseguenze	Manuale, Disabilitato	1.1.0

Criteri aggiuntivi per l'integrità dell'elaborazione

Definizioni di elaborazione dati

ID: SOC 2 Tipo 2 PI1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Implementare i metodi di recapito delle informative sulla privacy	CMA_0324 - Implementare i metodi di recapito delle informative sulla privacy	Manuale, Disabilitato	1.1.0
Fornire l'informativa sulla privacy	CMA_0414 - Fornire l'informativa sulla privacy	Manuale, Disabilitato	1.1.0
Limitare le comunicazioni	CMA_0449 - Limitare le comunicazioni	Manuale, Disabilitato	1.1.0

Input di sistema su completezza e accuratezza

ID: SOC 2 Tipo 2 PI1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la convalida dell'input delle informazioni	CMA_C1723 - Eseguire la convalida dell'input delle informazioni	Manuale, Disabilitato	1.1.0

Elaborazione del sistema

ID: SOC 2 Tipo 2 PI1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Generare messaggi di errore	CMA_C1724 - Generare messaggi di errore	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Eseguire la convalida dell'input delle informazioni	CMA_C1723 - Eseguire la convalida dell'input delle informazioni	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

L'output del sistema è completo, accurato e tempestivo

ID: SOC 2 Tipo 2 PI1.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Archiviare completamente input e output, in modo accurato e tempestivo

ID: SOC 2 Tipo 2 PI1.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Stabilire criteri e procedure di backup	CMA_0268 - Stabilire criteri e procedure di backup	Manuale, Disabilitato	1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB	Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL	Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL	Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server.	Audit, Disabled	1.0.1
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0
Archiviare separatamente le informazioni di backup	CMA_C1293 - Archiviare separatamente le informazioni di backup	Manuale, Disabilitato	1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure:

Panoramica della Conformità con le normative.
Vedere la struttura della definizione dell'iniziativa.
Vedere altri esempi in Esempi di Criteri di Azure.
Leggere Informazioni sugli effetti di Criteri.
Informazioni su come correggere le risorse non conformi.

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare gli eventi di sicurezza delle informazioni	CMA_0013 - Valutare gli eventi di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Sviluppare misure di sicurezza	CMA_0161 - Sviluppare misure di sicurezza	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.0.0
Abilitare la protezione di rete	CMA_0238 - Abilitare la protezione di rete	Manuale, Disabilitato	1.1.0
Eradicare le informazioni contaminate	CMA_0253 - Eliminare le informazioni contaminate	Manuale, Disabilitato	1.1.0
Eseguire azioni in risposta alla perdita di informazioni	CMA_0281 - Eseguire azioni in risposta a spill di informazioni	Manuale, Disabilitato	1.1.0
Identificare le classi di eventi imprevisti e azioni eseguite	CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite	Manuale, Disabilitato	1.1.0
Implementare la gestione degli eventi imprevisti	CMA_0318 - Implementare la gestione degli eventi imprevisti	Manuale, Disabilitato	1.1.0
Includere la riconfigzione dinamica delle risorse distribuite dai clienti	CMA_C1364 - Includere la riconfigzione dinamica delle risorse distribuite dai clienti	Manuale, Disabilitato	1.1.0
Gestire il piano di risposta agli eventi imprevisti	CMA_0352 - Gestire il piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1
Visualizzare e analizzare gli utenti con restrizioni	CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni	Manuale, Disabilitato	1.1.0

Condividi tramite