Dettagli dell'iniziativa predefinita NIST SP 800-53 Rev. 5 Regulatory Compliance
L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita Criteri di Azure conformità alle normative ai domini di conformità e ai controlli in NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli NIST SP 800-53 Rev. 5 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Trovare e selezionare quindi la definizione dell'iniziativa predefinita NIST SP 800-53 Rev. 5 Regulatory Compliance.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Controllo dell’accesso
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AC-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure di controllo di accesso | CMA_0144 - Sviluppare criteri e procedure di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Gestire criteri e procedure | CMA_0292 - Gestire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
Esaminare i criteri e le procedure di controllo di accesso | CMA_0457 - Esaminare i criteri e le procedure di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Gestione degli account
ID: NIST SP 800-53 Rev. 5 AC-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Assegnare responsabili account | CMA_0015 - Assegnare responsabili account | Manuale, Disabilitato | 1.1.0 |
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Definire e applicare le condizioni per gli account condivisi e di gruppo | CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo | Manuale, Disabilitato | 1.1.0 |
Definire i tipi di account del sistema informativo | CMA_0121 - Definire i tipi di account del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Privilegi di accesso ai documenti | CMA_0186 - Privilegi di accesso ai documenti | Manuale, Disabilitato | 1.1.0 |
Stabilire condizioni per l'appartenenza ai ruoli | CMA_0269 - Stabilire condizioni per l'appartenenza ai ruoli | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
Notificare ai responsabili degli account degli account controllati dai clienti | CMA_C1009 - Notificare ai responsabili account di account controllati dai clienti | Manuale, Disabilitato | 1.1.0 |
Eseguire nuovamente gli autenticatori per i gruppi e gli account modificati | CMA_0426 - Autenticatori di riemissione per gruppi e account modificati | Manuale, Disabilitato | 1.1.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Gestione automatica degli account di sistema
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Disabilitare gli account
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Disabilitare gli autenticatori al termine | CMA_0169 - Disabilitare gli autenticatori al termine | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Azioni di controllo automatizzate
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Disconnessione inattività
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire e applicare i criteri di log di inattività | CMA_C1017 - Definire e applicare i criteri di log di inattività | Manuale, Disabilitato | 1.1.0 |
Account utente con privilegi
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
Monitorare l'assegnazione di ruolo con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Usare privileged identity management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Restrizioni sull'uso di account condivisi e di gruppo
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire e applicare le condizioni per gli account condivisi e di gruppo | CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo | Manuale, Disabilitato | 1.1.0 |
Condizioni di utilizzo
ID: NIST SP 800-53 Rev. 5 AC-2 (11) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare l'utilizzo appropriato di tutti gli account | CMA_C1023 - Applicare l'utilizzo appropriato di tutti gli account | Manuale, Disabilitato | 1.1.0 |
Monitoraggio degli account per l'utilizzo atipico
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
Segnalare un comportamento atipico degli account utente | CMA_C1025 - Segnalare un comportamento atipico degli account utente | Manuale, Disabilitato | 1.1.0 |
Disabilitare gli account per utenti a rischio elevato
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Disabilitare gli account utente che presentano un rischio significativo | CMA_C1026 - Disabilitare gli account utente che comportano un rischio significativo | Manuale, Disabilitato | 1.1.0 |
Applicazione dell'accesso
ID: NIST SP 800-53 Rev. 5 AC-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
L'autenticazione nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
Controllo degli accessi in base al ruolo
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
Applicazione del controllo dei flussi di informazioni
ID: NIST SP 800-53 Rev. 5 AC-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 3.0.1 |
Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Gli account CosmosDB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Controllo flusso di informazioni dinamiche
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Filtri per i criteri di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza | CMA_C1029 - Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza | Manuale, Disabilitato | 1.1.0 |
Separazione fisica o logica dei flussi di informazioni
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
Separazione dei compiti
ID: NIST SP 800-53 Rev. 5 AC-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire le autorizzazioni di accesso per supportare la separazione dei compiti | CMA_0116 - Definire le autorizzazioni di accesso per supportare la separazione dei compiti | Manuale, Disabilitato | 1.1.0 |
Separazione dei compiti in documenti | CMA_0204 - Separazione dei compiti | Manuale, Disabilitato | 1.1.0 |
Compiti separati delle persone | CMA_0492 - Compiti separati delle persone | Manuale, Disabilitato | 1.1.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Privilegi minimi
ID: NIST SP 800-53 Rev. 5 AC-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Autorizzare l'accesso alle funzioni di sicurezza
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Account con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Verifica dei privilegi utente
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Riassegnare o rimuovere i privilegi utente in base alle esigenze | CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
Livelli di privilegio per l'esecuzione del codice
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare i privilegi di esecuzione del software | CMA_C1041 - Applicare privilegi di esecuzione software | Manuale, Disabilitato | 1.1.0 |
Uso dei log di Funzioni con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi full-text dei comandi con privilegi registrati | CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati | Manuale, Disabilitato | 1.1.0 |
Monitorare l'assegnazione di ruolo con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Usare privileged identity management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Tentativi di accesso non riusciti
ID: NIST SP 800-53 Rev. 5 AC-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare un limite di tentativi di accesso consecutivi non riusciti | CMA_C1044 - Applicare un limite di tentativi di accesso consecutivi non riusciti | Manuale, Disabilitato | 1.1.0 |
Controllo delle sessioni simultanee
ID: NIST SP 800-53 Rev. 5 AC-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire e applicare il limite di sessioni simultanee | CMA_C1050 : definire e applicare il limite di sessioni simultanee | Manuale, Disabilitato | 1.1.0 |
Terminazione della sessione
ID: NIST SP 800-53 Rev. 5 AC-12 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Terminare automaticamente la sessione utente | CMA_C1054 - Terminare automaticamente la sessione utente | Manuale, Disabilitato | 1.1.0 |
Logout avviati dall'utente
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Visualizzare un messaggio di disconnessione esplicito | CMA_C1056 - Visualizzare un messaggio di disconnessione esplicito | Manuale, Disabilitato | 1.1.0 |
Fornire la funzionalità di disconnessione | CMA_C1055 - Fornire la funzionalità di disconnessione | Manuale, Disabilitato | 1.1.0 |
Azioni consentite senza identificazione o autenticazione
ID: NIST SP 800-53 Rev. 5 AC-14 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare le azioni consentite senza autenticazione | CMA_0295 - Identificare le azioni consentite senza autenticazione | Manuale, Disabilitato | 1.1.0 |
Attributi di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 AC-16 Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Accesso remoto
ID: NIST SP 800-53 Rev. 5 AC-17 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Azure Spring Cloud deve usare l'aggiunta alla rete | Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Gli account CosmosDB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Monitoraggio e controllo
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Azure Spring Cloud deve usare l'aggiunta alla rete | Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Gli account CosmosDB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Protezione della riservatezza e dell'integrità tramite la crittografia
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Notificare agli utenti l'accesso o l'accesso al sistema | CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Punti di Controllo di accesso gestiti
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Instradare il traffico attraverso i punti di accesso alla rete gestita | CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita | Manuale, Disabilitato | 1.1.0 |
Comandi con privilegi e accesso
ID: NIST SP 800-53 Rev. 5 AC-17 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Autorizzare l'accesso remoto ai comandi con privilegi | CMA_C1064 - Autorizzare l'accesso remoto ai comandi con privilegi | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Disconnettere o disabilitare l'accesso
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Offrire la possibilità di disconnettersi o disabilitare l'accesso remoto | CMA_C1066 : consente di disconnettersi o disabilitare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Accesso wireless
ID: NIST SP 800-53 Rev. 5 AC-18 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare e implementare linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Autenticazione e crittografia
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare e implementare linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Controllo di accesso per dispositivi mobili
ID: NIST SP 800-53 Rev. 5 AC-19 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i requisiti dei dispositivi mobili | CMA_0122 - Definire i requisiti dei dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
Crittografia completa basata su dispositivo o contenitore
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i requisiti dei dispositivi mobili | CMA_0122 - Definire i requisiti dei dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Uso di sistemi esterni
ID: NIST SP 800-53 Rev. 5 AC-20 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire termini e condizioni per l'accesso alle risorse | CMA_C1076 - Stabilire termini e condizioni per l'accesso alle risorse | Manuale, Disabilitato | 1.1.0 |
Stabilire termini e condizioni per l'elaborazione delle risorse | CMA_C1077 - Stabilire termini e condizioni per l'elaborazione delle risorse | Manuale, Disabilitato | 1.1.0 |
Limiti per l'uso autorizzato
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare i controlli di sicurezza per i sistemi informativi esterni | CMA_0541 - Verificare i controlli di sicurezza per i sistemi informativi esterni | Manuale, Disabilitato | 1.1.0 |
Dispositivi portabili Archiviazione ??? Uso con restrizioni
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
Controllare l'uso di dispositivi di archiviazione portatili | CMA_0083 - Controllare l'uso di dispositivi di archiviazione portatili | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Condivisione delle informazioni
ID: NIST SP 800-53 Rev. 5 AC-21 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare le decisioni di condivisione delle informazioni | CMA_0028 - Automatizzare le decisioni di condivisione delle informazioni | Manuale, Disabilitato | 1.1.0 |
Facilitare la condivisione delle informazioni | CMA_0284 - Facilitare la condivisione delle informazioni | Manuale, Disabilitato | 1.1.0 |
Contenuto accessibile pubblicamente
ID: NIST SP 800-53 Rev. 5 AC-22 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Designare il personale autorizzato a pubblicare informazioni accessibili pubblicamente | CMA_C1083 - Designare il personale autorizzato a pubblicare informazioni accessibili pubblicamente | Manuale, Disabilitato | 1.1.0 |
Esaminare il contenuto prima di pubblicare informazioni accessibili pubblicamente | CMA_C1085 - Esaminare il contenuto prima di pubblicare informazioni accessibili pubblicamente | Manuale, Disabilitato | 1.1.0 |
Esaminare il contenuto accessibile pubblicamente per informazioni non pubbliche | CMA_C1086 - Esaminare il contenuto accessibile pubblicamente per informazioni non pubbliche | Manuale, Disabilitato | 1.1.0 |
Formare il personale sulla divulgazione di informazioni non pubbliche | CMA_C1084 - Formare il personale sulla divulgazione di informazioni non pubbliche | Manuale, Disabilitato | 1.1.0 |
Consapevolezza e formazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AT-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare le attività di formazione sulla sicurezza e sulla privacy | CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy | Manuale, Disabilitato | 1.1.0 |
Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Formazione e sensibilizzazione per l'alfabetizzazione
ID: NIST SP 800-53 Rev. 5 AT-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza | CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
Fornire formazione aggiornata sulla consapevolezza della sicurezza | CMA_C1090 - Fornire formazione aggiornata sulla consapevolezza della sicurezza | Manuale, Disabilitato | 1.1.0 |
Minaccia Insider
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione sulla consapevolezza della sicurezza per le minacce interne | CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne | Manuale, Disabilitato | 1.1.0 |
Formazione basata sui ruoli
ID: NIST SP 800-53 Rev. 5 AT-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza basata sui ruoli | CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza prima di fornire l'accesso | CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso | Manuale, Disabilitato | 1.1.0 |
Esercizi pratici
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire esercizi pratici basati sui ruoli | CMA_C1096 - Fornire esercizi pratici basati sui ruoli | Manuale, Disabilitato | 1.1.0 |
Record di training
ID: NIST SP 800-53 Rev. 5 AT-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare le attività di formazione sulla sicurezza e sulla privacy | CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy | Manuale, Disabilitato | 1.1.0 |
Monitorare il completamento del training per la sicurezza e la privacy | CMA_0379 - Monitorare il completamento del training per la sicurezza e la privacy | Manuale, Disabilitato | 1.1.0 |
Conservare i record di training | CMA_0456 - Conservare i record di training | Manuale, Disabilitato | 1.1.0 |
Controllo e responsabilità
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AU-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure di controllo e responsabilità | CMA_0154 - Sviluppare criteri e procedure di controllo e responsabilità | Manuale, Disabilitato | 1.1.0 |
Sviluppare criteri e procedure di sicurezza delle informazioni | CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Gestire criteri e procedure | CMA_0292 - Gestire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Registrazione eventi
ID: NIST SP 800-53 Rev. 5 AU-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
Contenuto dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
Informazioni aggiuntive sul controllo
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare le funzionalità di controllo di Azure | CMA_C1108 - Configurare le funzionalità di controllo di Azure | Manuale, Disabilitato | 1.1.1 |
Capacità Archiviazione log di controllo
ID: NIST SP 800-53 Rev. 5 AU-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
Risposta agli errori del processo di registrazione di controllo
ID: NIST SP 800-53 Rev. 5 AU-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gestire e monitorare le attività di elaborazione dei controlli | CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli | Manuale, Disabilitato | 1.1.0 |
Avvisi in tempo reale
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire avvisi in tempo reale per gli errori degli eventi di controllo | CMA_C1114 - Fornire avvisi in tempo reale per gli errori degli eventi di controllo | Manuale, Disabilitato | 1.1.0 |
Verifica, analisi e creazione di report dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per la revisione e la creazione di report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
Integrare la revisione, l'analisi e la creazione di report di controllo | CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare le assegnazioni di amministratore ogni settimana | CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Esaminare la panoramica del report sull'identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività di file e cartelle | CMA_0473 - Esaminare l'attività di file e cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare le modifiche al gruppo di ruoli ogni settimana | CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
Integrazione automatizzata dei processi
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per la revisione e la creazione di report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
Integrare la revisione, l'analisi e la creazione di report di controllo | CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare le assegnazioni di amministratore ogni settimana | CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Esaminare la panoramica del report sull'identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività di file e cartelle | CMA_0473 - Esaminare l'attività di file e cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare le modifiche al gruppo di ruoli ogni settimana | CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
Correlare i repository di record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
Revisione e analisi centrali
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
È necessario abilitare i log delle risorse in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Analisi integrata dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Integrare l'analisi dei record di controllo | CMA_C1120 - Integrare l'analisi dei record di controllo | Manuale, Disabilitato | 1.1.0 |
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
È necessario abilitare i log delle risorse in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Azioni consentite
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Specificare le azioni consentite associate alle informazioni di controllo dei clienti | CMA_C1122 - Specificare le azioni consentite associate alle informazioni di controllo dei clienti | Manuale, Disabilitato | 1.1.0 |
Riduzione dei record di controllo e generazione di report
ID: NIST SP 800-53 Rev. 5 AU-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare che i record di controllo non vengano modificati | CMA_C1125 - Assicurarsi che i record di controllo non vengano modificati | Manuale, Disabilitato | 1.1.0 |
Fornire funzionalità di revisione, analisi e creazione di report di controllo | CMA_C1124 - Fornire funzionalità di revisione, analisi e creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
Elaborazione automatica
ID: NIST SP 800-53 Rev. 5 AU-7 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Offrire la possibilità di elaborare i record di controllo controllati dal cliente | CMA_C1126 - Offrire la possibilità di elaborare i record di controllo controllati dal cliente | Manuale, Disabilitato | 1.1.0 |
Timestamp
ID: NIST SP 800-53 Rev. 5 AU-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare gli orologi di sistema per i record di controllo | CMA_0535 - Usare orologi di sistema per i record di controllo | Manuale, Disabilitato | 1.1.0 |
Protezione delle informazioni di controllo
ID: NIST SP 800-53 Rev. 5 AU-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Abilitare l'autorizzazione doppia o congiunta | CMA_0226 - Abilitare l'autorizzazione doppia o congiunta | Manuale, Disabilitato | 1.1.0 |
Proteggere le informazioni di controllo | CMA_0401 - Proteggere le informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Archiviare in sistemi fisici o componenti separati
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Mantenere l'integrità del sistema di controllo | CMA_C1133 - Mantenere l'integrità del sistema di controllo | Manuale, Disabilitato | 1.1.0 |
Accesso da parte di subset di utenti con privilegi
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Proteggere le informazioni di controllo | CMA_0401 - Proteggere le informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Non ripudio
ID: NIST SP 800-53 Rev. 5 AU-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire i requisiti di firma elettronica e certificato | CMA_0271 - Stabilire i requisiti di firma elettronica e certificato | Manuale, Disabilitato | 1.1.0 |
Conservazione dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-11 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Rispettare i periodi di conservazione definiti | CMA_0004 - Rispettare i periodi di conservazione definiti | Manuale, Disabilitato | 1.1.0 |
Conservare criteri e procedure di sicurezza | CMA_0454 - Mantenere criteri e procedure di sicurezza | Manuale, Disabilitato | 1.1.0 |
Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
I server SQL con controllo nella destinazione dell'account di archiviazione devono essere configurati con conservazione di 90 giorni o superiore | Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
Generazione di record di controllo
ID: NIST SP 800-53 Rev. 5 AU-12 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
È necessario abilitare i log delle risorse in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Audit Trail correlato al sistema e correlato al tempo
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Compilare i record di controllo in un controllo a livello di sistema | CMA_C1140 - Compilare i record di controllo in un controllo a livello di sistema | Manuale, Disabilitato | 1.1.0 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
È necessario abilitare i log delle risorse in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Modifiche da parte di utenti autorizzati
ID: NIST SP 800-53 Rev. 5 AU-12 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Offrire la possibilità di estendere o limitare il controllo sulle risorse distribuite dal cliente | CMA_C1141 - Offrire la possibilità di estendere o limitare il controllo sulle risorse distribuite dal cliente | Manuale, Disabilitato | 1.1.0 |
Valutazione, autorizzazione e monitoraggio
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CA-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare i criteri e le procedure di valutazione della sicurezza e autorizzazione | CMA_C1143 - Esaminare criteri e procedure di valutazione della sicurezza e autorizzazione | Manuale, Disabilitato | 1.1.0 |
Valutazioni dei controlli
ID: NIST SP 800-53 Rev. 5 CA-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare i controlli di sicurezza | CMA_C1145 - Valutare i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Risultati della valutazione della sicurezza | CMA_C1147 - Risultati della valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di valutazione della sicurezza | CMA_C1144 - Sviluppare un piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Creare un report sulla valutazione della sicurezza | CMA_C1146 - Produrre report sulla valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Valutatori indipendenti
ID: NIST SP 800-53 Rev. 5 CA-2 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare valutatori indipendenti per eseguire valutazioni dei controlli di sicurezza | CMA_C1148 - Impiegare valutatori indipendenti per eseguire valutazioni dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Valutazioni specializzate
ID: NIST SP 800-53 Rev. 5 CA-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Utilizzo dei risultati di organizzazioni esterne
ID: NIST SP 800-53 Rev. 5 CA-2 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Accettare i risultati della valutazione | CMA_C1150 - Accettare i risultati della valutazione | Manuale, Disabilitato | 1.1.0 |
Scambio di informazioni
ID: NIST SP 800-53 Rev. 5 CA-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Richiedere contratti di sicurezza di interconnessione | CMA_C1151 - Richiedere contratti di sicurezza di interconnessione | Manuale, Disabilitato | 1.1.0 |
Aggiornare i contratti di sicurezza di interconnessione | CMA_0519 - Aggiornare i contratti di sicurezza di interconnessione | Manuale, Disabilitato | 1.1.0 |
Piano di azione e attività cardine
ID: NIST SP 800-53 Rev. 5 CA-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare POA&M | CMA_C1156 - Sviluppare POA&M | Manuale, Disabilitato | 1.1.0 |
Aggiorna elementi POA&M | CMA_C1157 - Aggiornare gli elementi POA&M | Manuale, Disabilitato | 1.1.0 |
Autorizzazione
ID: NIST SP 800-53 Rev. 5 CA-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assegnare un ufficiale di autorizzazione (AO) | CMA_C1158 - Assegnare un ufficiale di autorizzazione (AO) | Manuale, Disabilitato | 1.1.0 |
Verificare che le risorse siano autorizzate | CMA_C1159 - Assicurarsi che le risorse siano autorizzate | Manuale, Disabilitato | 1.1.0 |
Aggiornare l'autorizzazione di sicurezza | CMA_C1160 - Aggiornare l'autorizzazione di sicurezza | Manuale, Disabilitato | 1.1.0 |
Monitoraggio continuo
ID: NIST SP 800-53 Rev. 5 CA-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare l'elenco elementi consentiti per il rilevamento | CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento | Manuale, Disabilitato | 1.1.0 |
Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
Sottoposto a revisione della sicurezza indipendente | CMA_0515 - Sottoposto a revisione della sicurezza indipendente | Manuale, Disabilitato | 1.1.0 |
Valutazione indipendente
ID: NIST SP 800-53 Rev. 5 CA-7 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare valutatori indipendenti per il monitoraggio continuo | CMA_C1168 - Impiegare valutatori indipendenti per il monitoraggio continuo | Manuale, Disabilitato | 1.1.0 |
Analisi delle tendenze
ID: NIST SP 800-53 Rev. 5 CA-7 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Analizzare i dati ottenuti dal monitoraggio continuo | CMA_C1169 - Analizzare i dati ottenuti dal monitoraggio continuo | Manuale, Disabilitato | 1.1.0 |
Agente di test di penetrazione indipendente o team
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare un team indipendente per i test di penetrazione | CMA_C1171 - Impiegare un team indipendente per i test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Connessioni di sistema interne
ID: NIST SP 800-53 Rev. 5 CA-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | CMA_0053 - Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | Manuale, Disabilitato | 1.1.0 |
Gestione della configurazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CM-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | CMA_C1175 - Esaminare e aggiornare i criteri e le procedure di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Configurazione di base
ID: NIST SP 800-53 Rev. 5 CM-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Supporto di automazione per accuratezza e valuta
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Conservazione delle configurazioni precedenti
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Mantenere le versioni precedenti delle configurazioni di base | CMA_C1181 - Mantenere le versioni precedenti delle configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Configurare sistemi e componenti per aree ad alto rischio
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assicurarsi che le misure di sicurezza non siano necessarie quando i singoli utenti restituiscono | CMA_C1183 : assicurarsi che le misure di sicurezza non siano necessarie quando gli utenti restituiscono | Manuale, Disabilitato | 1.1.0 |
Non consentire ai sistemi informativi di accompagnare le persone | CMA_C1182 - Non consentire ai sistemi informativi di accompagnare le persone | Manuale, Disabilitato | 1.1.0 |
Controllo delle modifiche della configurazione
ID: NIST SP 800-53 Rev. 5 CM-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire uno standard gestione delle vulnerabilità | CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Documentazione automatizzata, notifica e divieto di modifiche
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare la richiesta di approvazione per le modifiche proposte | CMA_C1192 - Automatizzare la richiesta di approvazione per le modifiche proposte | Manuale, Disabilitato | 1.1.0 |
Automatizzare l'implementazione delle notifiche di modifica approvate | CMA_C1196 - Automatizzare l'implementazione delle notifiche di modifica approvate | Manuale, Disabilitato | 1.1.0 |
Automatizzare il processo per documentare le modifiche implementate | CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate | Manuale, Disabilitato | 1.1.0 |
Automatizzare il processo per evidenziare le proposte di modifica non presentate | CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate | Manuale, Disabilitato | 1.1.0 |
Automatizzare il processo per impedire l'implementazione di modifiche non approvati | CMA_C1194 - Automatizzare il processo per impedire l'implementazione di modifiche non approvati | Manuale, Disabilitato | 1.1.0 |
Automatizzare le modifiche documentate proposte | CMA_C1191 - Automatizzare le modifiche documentate proposte | Manuale, Disabilitato | 1.1.0 |
Test, convalida e documentazione delle modifiche
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Rappresentanti della sicurezza e della privacy
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assegnare un rappresentante della sicurezza delle informazioni al controllo delle modifiche | CMA_C1198 - Assegnare un rappresentante della sicurezza delle informazioni al controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Gestione della crittografia
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare che i meccanismi di crittografia siano in gestione della configurazione | CMA_C1199 - Assicurarsi che i meccanismi di crittografia siano in gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Analisi dell'impatto
ID: NIST SP 800-53 Rev. 5 CM-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire uno standard gestione delle vulnerabilità | CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Ambienti di test separati
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Restrizioni di accesso per le modifiche
ID: NIST SP 800-53 Rev. 5 CM-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Applicazione e record di controllo automatizzati per l'accesso
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare e controllare le restrizioni di accesso | CMA_C1203 - Applicare e controllare le restrizioni di accesso | Manuale, Disabilitato | 1.1.0 |
Limitazione dei privilegi per la produzione e l'operazione
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Limitare i privilegi per apportare modifiche nell'ambiente di produzione | CMA_C1206 - Limitare i privilegi per apportare modifiche nell'ambiente di produzione | Manuale, Disabilitato | 1.1.0 |
Esaminare e rivalutare i privilegi | CMA_C1207 - Rivedere e rivalutare i privilegi | Manuale, Disabilitato | 1.1.0 |
Impostazioni di configurazione
ID: NIST SP 800-53 Rev. 5 CM-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Gestione automatizzata, applicazione e verifica
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Gestire la conformità dei provider di servizi cloud | CMA_0290 - Gestire la conformità dei provider di servizi cloud | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Funzionalità minima
ID: NIST SP 800-53 Rev. 5 CM-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Impedire l'esecuzione del programma
ID: NIST SP 800-53 Rev. 5 CM-7 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
??? software autorizzato Consenti per eccezione
ID: NIST SP 800-53 Rev. 5 CM-7 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
Inventario dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 CM-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
Gestire i record di trattamento dei dati personali | CMA_0353 - Gestire i record di trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Aggiornamenti durante l'installazione e la rimozione
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
Gestire i record di trattamento dei dati personali | CMA_0353 - Gestire i record di trattamento dei dati personali | Manuale, Disabilitato | 1.1.0 |
Rilevamento automatico dei componenti non autorizzati
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Abilitare il rilevamento dei dispositivi di rete | CMA_0220 - Abilitare il rilevamento dei dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Informazioni sulla responsabilità
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare un inventario dati | CMA_0096 - Creare un inventario dati | Manuale, Disabilitato | 1.1.0 |
Stabilire e gestire un inventario degli asset | CMA_0266 - Stabilire e gestire un inventario degli asset | Manuale, Disabilitato | 1.1.0 |
Piano di gestione della configurazione
ID: NIST SP 800-53 Rev. 5 CM-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare la protezione del piano di configurazione | CMA_C1233 - Creare la protezione del piano di configurazione | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di identificazione degli elementi di configurazione | CMA_C1231 - Sviluppare un piano di identificazione degli elementi di configurazione | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di gestione della configurazione | CMA_C1232 - Sviluppare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Restrizioni all'uso del software
ID: NIST SP 800-53 Rev. 5 CM-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
Richiedere la conformità ai diritti di proprietà intellettuale | CMA_0432 - Richiedere la conformità ai diritti di proprietà intellettuale | Manuale, Disabilitato | 1.1.0 |
Tenere traccia dell'utilizzo delle licenze software | CMA_C1235 - Tenere traccia dell'utilizzo delle licenze software | Manuale, Disabilitato | 1.1.0 |
Software open source
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Limitare l'uso del software open source | CMA_C1237 - Limitare l'uso del software open source | Manuale, Disabilitato | 1.1.0 |
Software installato dall'utente
ID: NIST SP 800-53 Rev. 5 CM-11 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
Piani di emergenza
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CP-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di pianificazione dell'emergenza | CMA_C1243 - Esaminare e aggiornare i criteri e le procedure di pianificazione dell'emergenza | Manuale, Disabilitato | 1.1.0 |
Piano di emergenza
ID: NIST SP 800-53 Rev. 5 CP-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Comunicare le modifiche del piano di emergenza | CMA_C1249 - Comunicare le modifiche del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza | CMA_0146 - Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Sviluppare criteri e procedure di pianificazione dell'emergenza | CMA_0156 - Sviluppare criteri e procedure di pianificazione dell'emergenza | Manuale, Disabilitato | 1.1.0 |
Distribuire criteri e procedure | CMA_0185 - Distribuire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
Esaminare il piano di emergenza | CMA_C1247 - Esaminare il piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Aggiornare il piano di emergenza | CMA_C1248 - Aggiornare il piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Coordinarsi con i piani correlati
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Capacity Planning
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Pianificare la capacità | CMA_C1252 - Pianificare la capacità | Manuale, Disabilitato | 1.1.0 |
Resume Mission and Business Functions
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Pianificare la ripresa delle funzioni aziendali essenziali | CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Continue Mission and Business Functions
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Pianificare la continuazione delle funzioni aziendali essenziali | CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Identificare gli asset critici
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire una valutazione dell'impatto aziendale e una valutazione della criticità dell'applicazione | CMA_0386 - Eseguire una valutazione dell'impatto aziendale e una valutazione della criticità dell'applicazione | Manuale, Disabilitato | 1.1.0 |
Formazione per la gestione delle emergenze
ID: NIST SP 800-53 Rev. 5 CP-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione per l'emergenza | CMA_0412 - Fornire formazione per l'emergenza | Manuale, Disabilitato | 1.1.0 |
Eventi simulati
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Incorporare il training di emergenza simulato | CMA_C1260 - Incorporare il training di emergenza simulato | Manuale, Disabilitato | 1.1.0 |
Test del piano di emergenza
ID: NIST SP 800-53 Rev. 5 CP-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Avviare le azioni correttive del piano di emergenza | CMA_C1263 - Avviare le azioni correttive del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Esaminare i risultati dei test del piano di emergenza | CMA_C1262 - Esaminare i risultati dei test del piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Testare il piano di continuità aziendale e ripristino di emergenza | CMA_0509 - Testare il piano di continuità aziendale e ripristino di emergenza | Manuale, Disabilitato | 1.1.0 |
Coordinarsi con i piani correlati
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sito di elaborazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare le funzionalità del sito di elaborazione alternative | CMA_C1266 - Valutare le funzionalità del sito di elaborazione alternative | Manuale, Disabilitato | 1.1.0 |
Testare il piano di emergenza in un percorso di elaborazione alternativo | CMA_C1265 - Testare il piano di emergenza in un percorso di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Sito di archiviazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assicurarsi che le misure di sicurezza del sito di archiviazione alternative siano equivalenti al sito primario | CMA_C1268 - Assicurarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario | Manuale, Disabilitato | 1.1.0 |
Stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup | CMA_C1267 : stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
Separazione dal sito primario
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare siti di archiviazione alternativi e primari separati | CMA_C1269 - Creare siti di archiviazione alternativi e primari separati | Manuale, Disabilitato | 1.1.0 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
Obiettivi del tempo di ripristino e del punto di ripristino
ID: NIST SP 800-53 Rev. 5 CP-6 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino | CMA_C1270 : stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino | Manuale, Disabilitato | 1.1.0 |
Accessibilità
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo | CMA_C1271 - Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
Sito di elaborazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Separazione dal sito primario
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Accessibilità
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Priorità del servizio
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per i provider di servizi Internet | CMA_0278 - Stabilire i requisiti per i provider di servizi Internet | Manuale, Disabilitato | 1.1.0 |
Preparazione per l'uso
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Preparare il sito di elaborazione alternativo per l'uso come sito operativo | CMA_C1278 - Preparare il sito di elaborazione alternativo da usare come sito operativo | Manuale, Disabilitato | 1.1.0 |
Priorità delle disposizioni del servizio
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire i requisiti per i provider di servizi Internet | CMA_0278 - Stabilire i requisiti per i provider di servizi Internet | Manuale, Disabilitato | 1.1.0 |
Backup del sistema
ID: NIST SP 800-53 Rev. 5 CP-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Eseguire il backup della documentazione del sistema informativo | CMA_C1289 - Eseguire il backup della documentazione del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gli insiemi di credenziali delle chiavi devono avere la protezione dell'eliminazione abilitata | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
Archiviazione separate per informazioni critiche
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Trasferimento in un sito di Archiviazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Trasferire le informazioni di backup in un sito di archiviazione alternativo | CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
Ripristino e ricostituzione del sistema
ID: NIST SP 800-53 Rev. 5 CP-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ripristinare e ricostituire le risorse dopo eventuali interruzioni | CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione | Manuale, Disabilitato | 1.1.1 |
Recupero delle transazioni
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare il ripristino basato sulle transazioni | CMA_C1296 - Implementare il ripristino basato sulle transazioni | Manuale, Disabilitato | 1.1.0 |
Ripristino entro il periodo di tempo
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ripristinare lo stato operativo delle risorse | CMA_C1297 - Ripristinare le risorse allo stato operativo | Manuale, Disabilitato | 1.1.1 |
Identificazione e autenticazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 IA-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure di identificazione e autenticazione | CMA_C1299 - Esaminare e aggiornare criteri e procedure di identificazione e autenticazione | Manuale, Disabilitato | 1.1.0 |
Identificazione e autenticazione (utenti dell'organizzazione)
ID: NIST SP 800-53 Rev. 5 IA-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Applicare l'univocità dell'utente | CMA_0250 - Imporre l'univocità dell'utente | Manuale, Disabilitato | 1.1.0 |
Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Supportare le credenziali di verifica personali rilasciate dalle autorità legali | CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali | Manuale, Disabilitato | 1.1.0 |
Autenticazione a più fattori in account con privilegi
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
Autenticazione a più fattori in account senza privilegi
ID: NIST SP 800-53 Rev. 5 IA-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
Autenticazione singola con autenticazione di gruppo
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Richiedere l'uso di singoli autenticatori | CMA_C1305 - Richiedere l'uso di singoli autenticatori | Manuale, Disabilitato | 1.1.0 |
Accettazione delle credenziali PIV
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Supportare le credenziali di verifica personali rilasciate dalle autorità legali | CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali | Manuale, Disabilitato | 1.1.0 |
Gestione identificatori
ID: NIST SP 800-53 Rev. 5 IA-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Assegnare identificatori di sistema | CMA_0018 - Assegnare identificatori di sistema | Manuale, Disabilitato | 1.1.0 |
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
Impedire il riutilizzo dell'identificatore per il periodo di tempo definito | CMA_C1314 - Impedire il riutilizzo dell'identificatore per il periodo di tempo definito | Manuale, Disabilitato | 1.1.0 |
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Identificare lo stato utente
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare lo stato dei singoli utenti | CMA_C1316 - Identificare lo stato dei singoli utenti | Manuale, Disabilitato | 1.1.0 |
Gestione autenticatori
ID: NIST SP 800-53 Rev. 5 IA-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
L'autenticazione nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Stabilire tipi e processi di autenticazione | CMA_0267 - Stabilire tipi e processi di autenticazione | Manuale, Disabilitato | 1.1.0 |
Stabilire procedure per la distribuzione iniziale dell'autenticatore | CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
Implementare il training per la protezione degli autenticatori | CMA_0329 - Implementare il training per la protezione degli autenticatori | Manuale, Disabilitato | 1.1.0 |
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
Gestire gli autenticatori | CMA_C1321 - Gestire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Aggiornare gli autenticatori | CMA_0425 - Aggiornare gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Eseguire nuovamente gli autenticatori per i gruppi e gli account modificati | CMA_0426 - Autenticatori di riemissione per gruppi e account modificati | Manuale, Disabilitato | 1.1.0 |
Verificare l'identità prima di distribuire gli autenticatori | CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Autenticazione basata su password
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Stabilire un criterio password | CMA_0256 - Stabilire un criterio password | Manuale, Disabilitato | 1.1.0 |
Implementare i parametri per i verificatori segreti memorizzati | CMA_0321 - Implementare i parametri per i verificatori segreti memorizzati | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Autenticazione basata su chiave pubblica
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Associare autenticatori e identità in modo dinamico | CMA_0035 - Associare autenticatori e identità in modo dinamico | Manuale, Disabilitato | 1.1.0 |
Stabilire tipi e processi di autenticazione | CMA_0267 - Stabilire tipi e processi di autenticazione | Manuale, Disabilitato | 1.1.0 |
Stabilire i parametri per la ricerca di autenticatori e verificatori dei segreti | CMA_0274 : stabilire i parametri per la ricerca di autenticatori e verificatori dei segreti | Manuale, Disabilitato | 1.1.0 |
Stabilire procedure per la distribuzione iniziale dell'autenticatore | CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
Eseguire il mapping delle identità autenticate ai singoli utenti | CMA_0372 - Eseguire il mapping delle identità autenticate a singoli utenti | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Verificare l'identità prima di distribuire gli autenticatori | CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Protezione degli autenticatori
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assicurarsi che gli utenti autorizzati proteggano gli autenticatori forniti | CMA_C1339 - Assicurarsi che gli utenti autorizzati proteggano gli autenticatori forniti | Manuale, Disabilitato | 1.1.0 |
Nessun autenticatore statico non crittografato incorporato
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare che non siano presenti autenticatori statici non crittografati | CMA_C1340 - Assicurarsi che non siano presenti autenticatori statici non crittografati | Manuale, Disabilitato | 1.1.0 |
Scadenza degli autenticatori memorizzati nella cache
ID: NIST SP 800-53 Rev. 5 IA-5 (13) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Applicare la scadenza degli autenticatori memorizzati nella cache | CMA_C1343 - Applicare la scadenza degli autenticatori memorizzati nella cache | Manuale, Disabilitato | 1.1.0 |
Commenti e suggerimenti per l'autenticazione
ID: NIST SP 800-53 Rev. 5 IA-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Nascondere le informazioni di feedback durante il processo di autenticazione | CMA_C1344 - Nascondere le informazioni sul feedback durante il processo di autenticazione | Manuale, Disabilitato | 1.1.0 |
Autenticazione del modulo di crittografia
ID: NIST SP 800-53 Rev. 5 IA-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire l'autenticazione al modulo di crittografia | CMA_0021 - Eseguire l'autenticazione al modulo di crittografia | Manuale, Disabilitato | 1.1.0 |
Identificazione e autenticazione (utenti non aziendali)
ID: NIST SP 800-53 Rev. 5 IA-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare e autenticare utenti non aziendali | CMA_C1346 - Identificare e autenticare gli utenti non aziendali | Manuale, Disabilitato | 1.1.0 |
Accettazione delle credenziali PIV da altre agenzie
ID: NIST SP 800-53 Rev. 5 IA-8 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Accettare le credenziali PIV | CMA_C1347 - Accettare le credenziali PIV | Manuale, Disabilitato | 1.1.0 |
Accettazione di autenticatori esterni
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Accettare solo le credenziali di terze parti approvate da FICAM | CMA_C1348 - Accettare solo le credenziali di terze parti approvate da FICAM | Manuale, Disabilitato | 1.1.0 |
Uso di profili definiti
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Conforme ai profili emessi da FICAM | CMA_C1350 : conforme ai profili rilasciati da FICAM | Manuale, Disabilitato | 1.1.0 |
Risposta all'incidente
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 IR-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Formazione in materia di risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione sulla perdita di informazioni | CMA_0413 - Fornire formazione sulla perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
Eventi simulati
ID: NIST SP 800-53 Rev. 5 IR-2 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Incorporare eventi simulati nel training di risposta agli eventi imprevisti | CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Ambienti di training automatizzati
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un ambiente di training automatizzato | CMA_C1357 - Usare un ambiente di training automatizzato | Manuale, Disabilitato | 1.1.0 |
Test sulla risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire test di risposta agli eventi imprevisti | CMA_0060 - Eseguire test di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Coordinamento con i piani correlati
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire test di risposta agli eventi imprevisti | CMA_0060 - Eseguire test di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Gestione degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Gestire il piano di risposta agli eventi imprevisti | CMA_0352 - Gestire il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Processi automatizzati di gestione degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Riconfigurazione dinamica
ID: NIST SP 800-53 Rev. 5 IR-4 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Includere la riconfigzione dinamica delle risorse distribuite dai clienti | CMA_C1364 - Includere la riconfigzione dinamica delle risorse distribuite dai clienti | Manuale, Disabilitato | 1.1.0 |
Continuità delle operazioni
ID: NIST SP 800-53 Rev. 5 IR-4 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare le classi di eventi imprevisti e azioni eseguite | CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite | Manuale, Disabilitato | 1.1.0 |
Correlazione delle informazioni
ID: NIST SP 800-53 Rev. 5 IR-4 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Minacce Interne
ID: NIST SP 800-53 Rev. 5 IR-4 (6) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la funzionalità di gestione degli eventi imprevisti | CMA_C1367 - Implementare la funzionalità di gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Correlazione con organizzazioni esterne
ID: NIST SP 800-53 Rev. 5 IR-4 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinarsi con organizzazioni esterne per ottenere una prospettiva cross-org | CMA_C1368 - Coordinarsi con organizzazioni esterne per ottenere una prospettiva incrociata dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Monitoraggio degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Creazione di report automatizzati
ID: NIST SP 800-53 Rev. 5 IR-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Vulnerabilità correlate agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Assistenza nella risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Supporto di automazione per la disponibilità di informazioni e supporto
ID: NIST SP 800-53 Rev. 5 IR-7 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Coordinamento con provider esterni
ID: NIST SP 800-53 Rev. 5 IR-7 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | Manuale, Disabilitato | 1.1.0 |
Identificare il personale di risposta agli eventi imprevisti | CMA_0301 - Identificare il personale di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Piano di risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Gestire i record di violazione dei dati | CMA_0351 - Gestire i record di violazione dei dati | Manuale, Disabilitato | 1.1.0 |
Gestire il piano di risposta agli eventi imprevisti | CMA_0352 - Gestire il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Proteggere il piano di risposta agli eventi imprevisti | CMA_0405 - Proteggere il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Risposta alla perdita di informazioni
ID: NIST SP 800-53 Rev. 5 IR-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Identificare i sistemi e i componenti contaminati | CMA_0300 - Identificare i sistemi e i componenti contaminati | Manuale, Disabilitato | 1.1.0 |
Identificare le informazioni distribuite | CMA_0303 - Identificare le informazioni distribuite | Manuale, Disabilitato | 1.1.0 |
Isolare le perdite di informazioni | CMA_0346 - Isolare le perdite di informazioni | Manuale, Disabilitato | 1.1.0 |
Formazione
ID: NIST SP 800-53 Rev. 5 IR-9 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione sulla perdita di informazioni | CMA_0413 - Fornire formazione sulla perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
Operazioni post-spill
ID: NIST SP 800-53 Rev. 5 IR-9 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare procedure di risposta alla perdita di dati | CMA_0162 - Sviluppare procedure di risposta alla perdita di dati | Manuale, Disabilitato | 1.1.0 |
Esposizione a personale non autorizzato
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
Gestione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 MA-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di manutenzione del sistema | CMA_C1395 - Esaminare e aggiornare i criteri e le procedure di manutenzione del sistema | Manuale, Disabilitato | 1.1.0 |
Manutenzione controllata
ID: NIST SP 800-53 Rev. 5 MA-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le attività di manutenzione e riparazione | CMA_0080 - Controllare le attività di manutenzione e riparazione | Manuale, Disabilitato | 1.1.0 |
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Attività di manutenzione automatizzate
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare le attività di manutenzione remota | CMA_C1402 - Automatizzare le attività di manutenzione remota | Manuale, Disabilitato | 1.1.0 |
Produrre record completi delle attività di manutenzione remota | CMA_C1403 - Produrre record completi delle attività di manutenzione remota | Manuale, Disabilitato | 1.1.0 |
Strumenti di manutenzione
ID: NIST SP 800-53 Rev. 5 MA-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le attività di manutenzione e riparazione | CMA_0080 - Controllare le attività di manutenzione e riparazione | Manuale, Disabilitato | 1.1.0 |
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Esaminare gli strumenti
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le attività di manutenzione e riparazione | CMA_0080 - Controllare le attività di manutenzione e riparazione | Manuale, Disabilitato | 1.1.0 |
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Esaminare i supporti
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le attività di manutenzione e riparazione | CMA_0080 - Controllare le attività di manutenzione e riparazione | Manuale, Disabilitato | 1.1.0 |
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Impedisci rimozione non autorizzata
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le attività di manutenzione e riparazione | CMA_0080 - Controllare le attività di manutenzione e riparazione | Manuale, Disabilitato | 1.1.0 |
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Manutenzione non locale
ID: NIST SP 800-53 Rev. 5 MA-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gestire attività di manutenzione e diagnostica non locali | CMA_0364 - Gestire attività di manutenzione e diagnostica non locali | Manuale, Disabilitato | 1.1.0 |
Sicurezza e purificazione paragonabili
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire tutte le operazioni di manutenzione non locali | CMA_C1417 - Eseguire tutte le operazioni di manutenzione non locali | Manuale, Disabilitato | 1.1.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare meccanismi di crittografia | CMA_C1419 - Implementare meccanismi di crittografia | Manuale, Disabilitato | 1.1.0 |
Personale addetto alla manutenzione
ID: NIST SP 800-53 Rev. 5 MA-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Designare il personale per la supervisione di attività di manutenzione non autorizzate | CMA_C1422 - Designare il personale per la supervisione di attività di manutenzione non autorizzate | Manuale, Disabilitato | 1.1.0 |
Mantenere l'elenco del personale di manutenzione remota autorizzato | CMA_C1420 - Mantieni l'elenco del personale di manutenzione remota autorizzato | Manuale, Disabilitato | 1.1.0 |
Gestire il personale di manutenzione | CMA_C1421 - Gestire il personale di manutenzione | Manuale, Disabilitato | 1.1.0 |
Utenti senza accesso appropriato
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Manutenzione tempestiva
ID: NIST SP 800-53 Rev. 5 MA-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire supporto tempestivo per la manutenzione | CMA_C1425 - Fornire supporto tempestivo per la manutenzione | Manuale, Disabilitato | 1.1.0 |
Protezione dei supporti
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 MP-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di protezione dei supporti | CMA_C1427 - Esaminare e aggiornare i criteri e le procedure di protezione dei supporti | Manuale, Disabilitato | 1.1.0 |
Accesso ai file multimediali
ID: NIST SP 800-53 Rev. 5 MP-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Contrassegno dei supporti
ID: NIST SP 800-53 Rev. 5 MP-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Conservazione dei supporti
ID: NIST SP 800-53 Rev. 5 MP-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Trasporto dei supporti
ID: NIST SP 800-53 Rev. 5 MP-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gestire il trasporto delle risorse | CMA_0370 - Gestire il trasporto delle risorse | Manuale, Disabilitato | 1.1.0 |
Purificazione dei supporti
ID: NIST SP 800-53 Rev. 5 MP-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Esaminare, approvare, tenere traccia, documentare e verificare
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Test delle apparecchiature
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare un meccanismo di purificazione dei supporti | CMA_0208 - Usare un meccanismo di purificazione dei supporti | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Uso dei supporti
ID: NIST SP 800-53 Rev. 5 MP-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
Controllare l'uso di dispositivi di archiviazione portatili | CMA_0083 - Controllare l'uso di dispositivi di archiviazione portatili | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Limitare l'uso dei supporti | CMA_0450 - Limitare l'uso dei supporti | Manuale, Disabilitato | 1.1.0 |
Protezione fisica e dell'ambiente
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PE-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure fisici e ambientali | CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali | Manuale, Disabilitato | 1.1.0 |
Autorizzazioni di accesso fisico
ID: NIST SP 800-53 Rev. 5 PE-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Controllo dell'accesso fisico
ID: NIST SP 800-53 Rev. 5 PE-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
Stabilire e gestire un inventario degli asset | CMA_0266 - Stabilire e gestire un inventario degli asset | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Controllo di accesso per la trasmissione
ID: NIST SP 800-53 Rev. 5 PE-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Controllo di accesso per dispositivi di output
ID: NIST SP 800-53 Rev. 5 PE-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Allarmi di intrusione e apparecchiature di sorveglianza
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Installare un sistema di allarme | CMA_0338 - Installare un sistema di allarme | Manuale, Disabilitato | 1.1.0 |
Gestire un sistema di telecamere di sorveglianza sicuro | CMA_0354 - Gestire un sistema di telecamera di sorveglianza sicura | Manuale, Disabilitato | 1.1.0 |
Record di accesso dei visitatori
ID: NIST SP 800-53 Rev. 5 PE-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Illuminazione di emergenza
ID: NIST SP 800-53 Rev. 5 PE-12 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare l'illuminazione automatica di emergenza | CMA_0209 - Usare l'illuminazione automatica di emergenza | Manuale, Disabilitato | 1.1.0 |
Protezione antincendio
ID: NIST SP 800-53 Rev. 5 PE-13 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
??? dei sistemi di rilevamento Attivazione automatica e notifica
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare una metodologia di test di penetrazione | CMA_0306 - Implementare una metodologia di test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Sistemi di eliminazione ??? Attivazione automatica e notifica
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Controlli ambientali
ID: NIST SP 800-53 Rev. 5 PE-14 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Monitoraggio con allarmi e notifiche
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Installare un sistema di allarme | CMA_0338 - Installare un sistema di allarme | Manuale, Disabilitato | 1.1.0 |
Protezione dai danni idrici
ID: NIST SP 800-53 Rev. 5 PE-15 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Recapito e rimozione
ID: NIST SP 800-53 Rev. 5 PE-16 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire i requisiti per la gestione degli asset | CMA_0125 - Definire i requisiti per la gestione degli asset | Manuale, Disabilitato | 1.1.0 |
Gestire il trasporto delle risorse | CMA_0370 - Gestire il trasporto delle risorse | Manuale, Disabilitato | 1.1.0 |
Sede di lavoro alternativa
ID: NIST SP 800-53 Rev. 5 PE-17 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Posizione dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 PE-18 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Pianificazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PL-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure di pianificazione | CMA_C1491 - Esaminare e aggiornare i criteri e le procedure di pianificazione | Manuale, Disabilitato | 1.1.0 |
Piani di sicurezza e privacy del sistema
ID: NIST SP 800-53 Rev. 5 PL-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
Sviluppare criteri e procedure di sicurezza delle informazioni | CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare un provider di servizi condivisi che soddisfi i criteri | CMA_C1492 - Sviluppare un provider di servizi condivisi che soddisfi i criteri | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di privacy | CMA_0257 - Stabilire un programma di privacy | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
Implementare i principi di progettazione della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Regole di comportamento
ID: NIST SP 800-53 Rev. 5 PL-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure d'uso accettabili | CMA_0143 - Sviluppare criteri e procedure d'uso accettabili | Manuale, Disabilitato | 1.1.0 |
Sviluppare il codice di comportamento dell'organizzazione | CMA_0159 - Sviluppare il codice di comportamento dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Documentare l'accettazione dei requisiti di privacy per il personale | CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale | Manuale, Disabilitato | 1.1.0 |
Applicare regole di comportamento e contratti di accesso | CMA_0248 - Applicare regole di comportamento e contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Proibire pratiche sleali | CMA_0396 - Proibire pratiche sleali | Manuale, Disabilitato | 1.1.0 |
Rivedere e firmare le regole di comportamento modificate | CMA_0465 - Rivedere e firmare le regole di comportamento modificate | Manuale, Disabilitato | 1.1.0 |
Aggiornare i criteri di sicurezza delle informazioni | CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Aggiornare le regole di comportamento e i contratti di accesso | CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Aggiornare le regole di comportamento e gli accordi di accesso ogni 3 anni | CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni | Manuale, Disabilitato | 1.1.0 |
Restrizioni sull'utilizzo di social media e siti esterni e applicazioni
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare criteri e procedure d'uso accettabili | CMA_0143 - Sviluppare criteri e procedure d'uso accettabili | Manuale, Disabilitato | 1.1.0 |
Architetture di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 PL-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare un concetto di operazioni (CONOPS) | CMA_0141 - Sviluppare un concetto di operazioni (CONOPS) | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare l'architettura di sicurezza delle informazioni | CMA_C1504 - Esaminare e aggiornare l'architettura di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Sicurezza del personale
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PS-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di sicurezza del personale | CMA_C1507 - Esaminare e aggiornare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
Designazione del rischio della posizione
ID: NIST SP 800-53 Rev. 5 PS-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assegnare designazioni di rischio | CMA_0016 - Assegnare designazioni di rischio | Manuale, Disabilitato | 1.1.0 |
Screening del personale
ID: NIST SP 800-53 Rev. 5 PS-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Cancellare il personale con accesso alle informazioni classificate | CMA_0054 - Cancellare il personale con accesso alle informazioni classificate | Manuale, Disabilitato | 1.1.0 |
Implementare lo screening del personale | CMA_0322 - Implementare lo screening del personale | Manuale, Disabilitato | 1.1.0 |
Rielaborare i singoli utenti a una frequenza definita | CMA_C1512 - Rielaborare gli utenti a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
Informazioni che richiedono misure di protezione speciali
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Cessazione dell'incarico
ID: NIST SP 800-53 Rev. 5 PS-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Condurre un colloquio di uscita al termine | CMA_0058 - Condurre un colloquio di uscita al termine | Manuale, Disabilitato | 1.1.0 |
Disabilitare gli autenticatori al termine | CMA_0169 - Disabilitare gli autenticatori al termine | Manuale, Disabilitato | 1.1.0 |
Notifica al termine o al trasferimento | CMA_0381 - Notifica al termine o al trasferimento | Manuale, Disabilitato | 1.1.0 |
Proteggere da e impedire il furto di dati da parte dei dipendenti | CMA_0398 - Proteggere e impedire il furto di dati da parte dei dipendenti | Manuale, Disabilitato | 1.1.0 |
Conservare i dati utente terminati | CMA_0455 - Conservare i dati utente terminati | Manuale, Disabilitato | 1.1.0 |
Azioni automatizzate
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare la notifica della terminazione dei dipendenti | CMA_C1521 - Automatizzare la notifica della terminazione dei dipendenti | Manuale, Disabilitato | 1.1.0 |
Trasferimento di personale
ID: NIST SP 800-53 Rev. 5 PS-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Avviare azioni di trasferimento o riassegnazione | CMA_0333 - Avviare azioni di trasferimento o riassegnazione | Manuale, Disabilitato | 1.1.0 |
Modificare le autorizzazioni di accesso al trasferimento del personale | CMA_0374 - Modificare le autorizzazioni di accesso al trasferimento del personale | Manuale, Disabilitato | 1.1.0 |
Notifica al termine o al trasferimento | CMA_0381 - Notifica al termine o al trasferimento | Manuale, Disabilitato | 1.1.0 |
Rivalutare l'accesso al trasferimento del personale | CMA_0424 - Rivalutare l'accesso al trasferimento del personale | Manuale, Disabilitato | 1.1.0 |
Accordi di accesso
ID: NIST SP 800-53 Rev. 5 PS-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare i contratti di accesso dell'organizzazione | CMA_0192 - Documentare i contratti di accesso dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Applicare regole di comportamento e contratti di accesso | CMA_0248 - Applicare regole di comportamento e contratti di accesso | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente | CMA_C1528 - Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente | Manuale, Disabilitato | 1.1.0 |
Richiedere agli utenti di firmare il contratto di accesso | CMA_0440 - Richiedere agli utenti di firmare il contratto di accesso | Manuale, Disabilitato | 1.1.0 |
Aggiornare i contratti di accesso dell'organizzazione | CMA_0520 - Aggiornare i contratti di accesso dell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Sicurezza del personale esterno
ID: NIST SP 800-53 Rev. 5 PS-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare i requisiti di sicurezza del personale di terze parti | CMA_C1531 - Documentare i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza del personale di terze parti | CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
Monitorare la conformità del provider di terze parti | CMA_C1533 - Monitorare la conformità del provider di terze parti | Manuale, Disabilitato | 1.1.0 |
Richiedere la notifica del trasferimento o della chiusura del personale di terze parti | CMA_C1532 - Richiedere la notifica del trasferimento o della terminazione del personale di terze parti | Manuale, Disabilitato | 1.1.0 |
Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | CMA_C1530 - Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale | Manuale, Disabilitato | 1.1.0 |
Sanzioni al personale
ID: NIST SP 800-53 Rev. 5 PS-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare un processo formale di sanzioni | CMA_0317 - Implementare un processo formale di sanzioni | Manuale, Disabilitato | 1.1.0 |
Notificare al personale le sanzioni | CMA_0380 - Notificare al personale le sanzioni | Manuale, Disabilitato | 1.1.0 |
Valutazione dei rischi
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 RA-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure di valutazione dei rischi | CMA_C1537 - Esaminare e aggiornare i criteri e le procedure di valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Categorizzazione di sicurezza
ID: NIST SP 800-53 Rev. 5 RA-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Classificare le informazioni | CMA_0052 - Classificare le informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare schemi di classificazione aziendale | CMA_0155 - Sviluppare schemi di classificazione aziendale | Manuale, Disabilitato | 1.1.0 |
Verificare che la categorizzazione della sicurezza sia approvata | CMA_C1540 - Assicurarsi che la categorizzazione della sicurezza sia approvata | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Valutazione dei rischi
ID: NIST SP 800-53 Rev. 5 RA-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire la valutazione dei rischi | CMA_C1543 - Eseguire la valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire la valutazione dei rischi e distribuirne i risultati | CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati | Manuale, Disabilitato | 1.1.0 |
Condurre la valutazione dei rischi e documentarne i risultati | CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Monitoraggio e analisi delle vulnerabilità
ID: NIST SP 800-53 Rev. 5 RA-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
I database SQL devono avere i risultati della vulnerabilità risolti | Monitorare i risultati e le raccomandazioni per l'analisi della valutazione della vulnerabilità per correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | La valutazione delle vulnerabilità di SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server SQL di Azure che non hanno una valutazione della vulnerabilità configurata correttamente. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
La valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro di Synapse | Individuare, tenere traccia e correggere le potenziali vulnerabilità configurando analisi ricorrenti della valutazione delle vulnerabilità DI SQL nelle aree di lavoro di Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Aggiornare le vulnerabilità da analizzare
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Ampiezza e profondità della copertura
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Informazioni individuabili
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Intervenire in risposta alle informazioni dei clienti | CMA_C1554 - Intervenire in risposta alle informazioni dei clienti | Manuale, Disabilitato | 1.1.0 |
Accesso con privilegi
ID: NIST SP 800-53 Rev. 5 RA-5 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | CMA_C1555 - Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Analisi automatizzate delle tendenze
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Osservare e segnalare i punti deboli della sicurezza | CMA_0384 - Osservare e segnalare i punti deboli della sicurezza | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire la modellazione delle minacce | CMA_0392 - Eseguire la modellazione delle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di controllo cronologici
ID: NIST SP 800-53 Rev. 5 RA-5 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per la revisione e la creazione di report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
Integrare la revisione, l'analisi e la creazione di report di controllo | CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare le assegnazioni di amministratore ogni settimana | CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Esaminare la panoramica del report sull'identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di protezione dagli exploit | CMA_0472 - Esaminare gli eventi di protezione dagli exploit | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività di file e cartelle | CMA_0473 - Esaminare l'attività di file e cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare le modifiche al gruppo di ruoli ogni settimana | CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
Correlare le informazioni di analisi
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Correlare le informazioni sull'analisi della vulnerabilità | CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità | Manuale, Disabilitato | 1.1.1 |
Acquisizione del sistema e dei servizi
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SA-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure di acquisizione di sistemi e servizi | CMA_C1560 - Esaminare e aggiornare criteri e procedure di acquisizione di sistemi e servizi | Manuale, Disabilitato | 1.1.0 |
Allocazione delle risorse
ID: NIST SP 800-53 Rev. 5 SA-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Allineare gli obiettivi aziendali e gli obiettivi IT | CMA_0008 - Allineare gli obiettivi aziendali e gli obiettivi IT | Manuale, Disabilitato | 1.1.0 |
Allocare risorse per determinare i requisiti del sistema informativo | CMA_C1561 - Allocare risorse per determinare i requisiti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Stabilire una voce discreta nella documentazione relativa al budget | CMA_C1563 - Stabilire una voce discreta nella documentazione relativa al budget | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di privacy | CMA_0257 - Stabilire un programma di privacy | Manuale, Disabilitato | 1.1.0 |
Gestire l'allocazione delle risorse | CMA_0293 - Gestire l'allocazione delle risorse | Manuale, Disabilitato | 1.1.0 |
Impegno sicuro da parte della leadership | CMA_0489 - Proteggere l'impegno della leadership | Manuale, Disabilitato | 1.1.0 |
Ciclo di vita dello sviluppo del sistema
ID: NIST SP 800-53 Rev. 5 SA-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire ruoli e responsabilità di sicurezza delle informazioni | CMA_C1565 - Definire ruoli e responsabilità di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Identificare le persone con ruoli e responsabilità di sicurezza | CMA_C1566 - Identificare le persone con ruoli e responsabilità di sicurezza | Manuale, Disabilitato | 1.1.1 |
Integrare il processo di gestione dei rischi in SDLC | CMA_C1567 - Integrare il processo di gestione dei rischi in SDLC | Manuale, Disabilitato | 1.1.0 |
Processo di acquisizione
ID: NIST SP 800-53 Rev. 5 SA-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Proprietà funzionali dei controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ottenere proprietà funzionali dei controlli di sicurezza | CMA_C1575 - Ottenere proprietà funzionali dei controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Informazioni sulla progettazione e sull'implementazione per i controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | CMA_C1576 - Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza | Manuale, Disabilitato | 1.1.1 |
Piano di monitoraggio continuo per i controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ottenere un piano di monitoraggio continuo per i controlli di sicurezza | CMA_C1577 - Ottenere un piano di monitoraggio continuo per i controlli di sicurezza | Manuale, Disabilitato | 1.1.0 |
Funzioni, porte, protocolli e servizi in uso
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Richiedere allo sviluppatore di identificare porte, protocolli e servizi SDLC | CMA_C1578 - Richiedere allo sviluppatore di identificare porte, protocolli e servizi SDLC | Manuale, Disabilitato | 1.1.0 |
Uso di prodotti PIV approvati
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare la tecnologia approvata da FIPS 201 per PIV | CMA_C1579 - Impiegare la tecnologia approvata da FIPS 201 per PIV | Manuale, Disabilitato | 1.1.0 |
Documentazione di sistema
ID: NIST SP 800-53 Rev. 5 SA-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Distribuire la documentazione del sistema informativo | CMA_C1584 - Distribuire la documentazione del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Documentare le azioni definite dal cliente | CMA_C1582 - Documentare le azioni definite dal cliente | Manuale, Disabilitato | 1.1.0 |
Ottenere Amministrazione documentazione | CMA_C1580 - Ottenere Amministrazione documentazione | Manuale, Disabilitato | 1.1.0 |
Ottenere la documentazione della funzione di sicurezza utente | CMA_C1581 - Ottenere la documentazione della funzione di sicurezza utente | Manuale, Disabilitato | 1.1.0 |
Proteggere la documentazione dell'amministratore e dell'utente | CMA_C1583 - Proteggere la documentazione dell'amministratore e dell'utente | Manuale, Disabilitato | 1.1.0 |
Servizi di sistema esterni
ID: NIST SP 800-53 Rev. 5 SA-9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire e documentare la supervisione degli enti pubblici | CMA_C1587 - Definire e documentare la supervisione governativa | Manuale, Disabilitato | 1.1.0 |
Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | Manuale, Disabilitato | 1.1.0 |
Sottoposto a revisione della sicurezza indipendente | CMA_0515 - Sottoposto a revisione della sicurezza indipendente | Manuale, Disabilitato | 1.1.0 |
Valutazioni dei rischi e Approvazioni organizzative
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare il rischio nelle relazioni di terze parti | CMA_0014 - Valutare il rischio nelle relazioni di terze parti | Manuale, Disabilitato | 1.1.0 |
Ottenere le approvazioni per le acquisizioni e l'esternalizzazione | CMA_C1590 - Ottenere le approvazioni per acquisizioni ed esternalizzazioni | Manuale, Disabilitato | 1.1.0 |
Identificazione di funzioni, porte, protocolli e servizi
ID: NIST SP 800-53 Rev. 5 SA-9 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Identificare i provider di servizi esterni | CMA_C1591 - Identificare i provider di servizi esterni | Manuale, Disabilitato | 1.1.0 |
Interessi coerenti di consumatori e fornitori
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti | CMA_C1592 - Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti | Manuale, Disabilitato | 1.1.0 |
Elaborazione, Archiviazione e posizione del servizio
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Limitare la posizione dell'elaborazione delle informazioni, l'archiviazione e i servizi | CMA_C1593 - Limitare la posizione dell'elaborazione delle informazioni, dell'archiviazione e dei servizi | Manuale, Disabilitato | 1.1.0 |
Gestione della configurazione da parte dello sviluppatore
ID: NIST SP 800-53 Rev. 5 SA-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Risolvere le vulnerabilità di codifica | CMA_0003 - Risolvere le vulnerabilità di codifica | Manuale, Disabilitato | 1.1.0 |
Sviluppare e documentare i requisiti di sicurezza delle applicazioni | CMA_0148 - Sviluppare e documentare i requisiti di sicurezza delle applicazioni | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sviluppo software sicuro | CMA_0259 - Stabilire un programma di sviluppo software sicuro | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto | CMA_C1597 - Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di implementare solo le modifiche approvate | CMA_C1596 - Richiedere agli sviluppatori di implementare solo le modifiche approvate | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di gestire l'integrità delle modifiche | CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche | Manuale, Disabilitato | 1.1.0 |
Verifica dell'integrità del software e del firmware
ID: NIST SP 800-53 Rev. 5 SA-10 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Test e valutazione per sviluppatori
ID: NIST SP 800-53 Rev. 5 SA-11 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza | CMA_C1602 - Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Processo di sviluppo, standard e strumenti
ID: NIST SP 800-53 Rev. 5 SA-15 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare i processi di sviluppo, gli standard e gli strumenti | CMA_C1610 - Esaminare il processo di sviluppo, gli standard e gli strumenti | Manuale, Disabilitato | 1.1.0 |
Formazione fornita dallo sviluppatore
ID: NIST SP 800-53 Rev. 5 SA-16 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Richiedere agli sviluppatori di fornire formazione | CMA_C1611 - Richiedere agli sviluppatori di fornire formazione | Manuale, Disabilitato | 1.1.0 |
Architettura e progettazione di sicurezza e privacy per sviluppatori
ID: NIST SP 800-53 Rev. 5 SA-17 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Richiedere agli sviluppatori di compilare l'architettura di sicurezza | CMA_C1612 - Richiedere agli sviluppatori di creare un'architettura di sicurezza | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di descrivere funzionalità di sicurezza accurate | CMA_C1613 - Richiedere agli sviluppatori di descrivere funzionalità di sicurezza accurate | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di fornire un approccio unificato per la protezione della sicurezza | CMA_C1614 - Richiedere agli sviluppatori di fornire un approccio unificato per la protezione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Protezione del sistema e delle comunicazioni
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SC-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare criteri e procedure di protezione del sistema e delle comunicazioni | CMA_C1616 - Esaminare e aggiornare criteri e procedure di protezione del sistema e delle comunicazioni | Manuale, Disabilitato | 1.1.0 |
Separazione delle funzionalità di sistema e utente
ID: NIST SP 800-53 Rev. 5 SC-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Separare le funzionalità di gestione di utenti e sistemi informativi | CMA_0493 - Funzionalità di gestione separate di utenti e sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Usare computer dedicati per le attività amministrative | CMA_0527 - Usare computer dedicati per le attività amministrative | Manuale, Disabilitato | 1.1.0 |
Isolamento delle funzioni di sicurezza
ID: NIST SP 800-53 Rev. 5 SC-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Protezione Denial of Service
ID: NIST SP 800-53 Rev. 5 SC-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Protezione DDoS di Azure deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
Sviluppare e documentare un piano di risposta DDoS | CMA_0147 - Sviluppare e documentare un piano di risposta DDoS | Manuale, Disabilitato | 1.1.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Disponibilità delle risorse
ID: NIST SP 800-53 Rev. 5 SC-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gestire l'allocazione delle risorse | CMA_0293 - Gestire l'allocazione delle risorse | Manuale, Disabilitato | 1.1.0 |
Gestire disponibilità e capacità | CMA_0356 - Gestire la disponibilità e la capacità | Manuale, Disabilitato | 1.1.0 |
Impegno sicuro da parte della leadership | CMA_0489 - Proteggere l'impegno della leadership | Manuale, Disabilitato | 1.1.0 |
Protezione dei limiti
ID: NIST SP 800-53 Rev. 5 SC-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 3.0.1 |
Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Gli account CosmosDB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Punti di accesso
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 3.0.1 |
Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Gli account CosmosDB devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Servizi di telecomunicazione esterni
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare l'interfaccia gestita per ogni servizio esterno | CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Proteggere l'interfaccia ai sistemi esterni | CMA_0491 - Proteggere l'interfaccia ai sistemi esterni | Manuale, Disabilitato | 1.1.0 |
Split Tunneling per dispositivi remoti
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impedire il split tunneling per i dispositivi remoti | CMA_C1632 - Impedire il split tunneling per i dispositivi remoti | Manuale, Disabilitato | 1.1.0 |
Instradare il traffico ai server proxy autenticati
ID: NIST SP 800-53 Rev. 5 SC-7 (8) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Instradare il traffico attraverso la rete proxy autenticata | CMA_C1633 - Instradare il traffico tramite la rete proxy autenticata | Manuale, Disabilitato | 1.1.0 |
Protezione basata su host
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Isolamento di strumenti di sicurezza, meccanismi e componenti di supporto
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza | CMA_C1636 - Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Fail Secure
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Gestire i trasferimenti tra componenti di sistema attivi e standby | CMA_0371 - Gestire i trasferimenti tra componenti di sistema attivi e standby | Manuale, Disabilitato | 1.1.0 |
Isolamento e separazione dinamici
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Assicurarsi che il sistema sia in grado di isolare dinamicamente le risorse | CMA_C1638 - Garantire che il sistema sia in grado di isolare dinamicamente le risorse | Manuale, Disabilitato | 1.1.0 |
Isolamento dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare la protezione dei limiti per isolare i sistemi informativi | CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Riservatezza e integrità delle trasmissioni
ID: NIST SP 800-53 Rev. 5 SC-8 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-8 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Disconnessione di rete
ID: NIST SP 800-53 Rev. 5 SC-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Ripetere o terminare una sessione utente | CMA_0421 - Ripetere o terminare una sessione utente | Manuale, Disabilitato | 1.1.0 |
Definizione e gestione di chiavi crittografiche
ID: NIST SP 800-53 Rev. 5 SC-12 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: hub IoT i dati del servizio device provisioning devono essere crittografati usando chiavi gestite dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio di provisioning dei dispositivi hub IoT. I dati vengono crittografati automaticamente inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
L'API di Azure per FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in API di Azure per FHIR quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | audit, Audit, disabled, Disabled | 1.1.0 |
Automazione di Azure gli account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Automazione di Azure. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
Il gruppo di contenitori dell'istanza di Azure Container deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled, Deny | 1.0.0 |
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. | Audit, Deny, Disabled | 1.0.0 |
La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
Le data factory di Azure devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Data Factory. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
I cluster Azure HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei cluster Azure HDInsight inattivi. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
I cluster Azure HDInsight devono usare la crittografia nell'host per crittografare i dati inattivi | L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati | Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. | Audit, Deny, Disabled | 1.0.0 |
servizio Bot deve essere crittografato con una chiave gestita dal cliente | Azure servizio Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia servizio Bot di Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente | Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sulle chiavi gestite dal cliente sono disponibili in https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
I registri contenitori devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
Gli spazi dei nomi di Hub eventi devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Audit, Disabled | 1.0.0 |
Cache HPC account devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Azure Cache HPC con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
L'ambiente del servizio di integrazione delle app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto dei dischi gestiti. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
bus di servizio gli spazi dei nomi Premium devono usare una chiave gestita dal cliente per la crittografia | bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che bus di servizio useranno per crittografare i dati nello spazio dei nomi. Si noti che bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Audit, Disabled | 1.0.0 |
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
Archiviazione ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
Archiviazione account devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled | 1.0.3 |
Disponibilità
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Mantenere la disponibilità delle informazioni | CMA_C1644 - Mantenere la disponibilità delle informazioni | Manuale, Disabilitato | 1.1.0 |
Chiavi simmetriche
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produrre, controllare e distribuire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
Chiavi asimmetriche
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Produrre, controllare e distribuire chiavi crittografiche asimmetriche | CMA_C1646 - Produrre, controllare e distribuire chiavi crittografiche asimmetriche | Manuale, Disabilitato | 1.1.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-13 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
Dispositivi e applicazioni di elaborazione collaborativa
ID: NIST SP 800-53 Rev. 5 SC-15 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Notificare in modo esplicito l'uso di dispositivi di elaborazione collaborativi | CMA_C1649 : notificare in modo esplicito l'uso di dispositivi di elaborazione collaborativi | Manuale, Disabilitato | 1.1.1 |
Impedire l'attivazione remota dei dispositivi di elaborazione collaborativa | CMA_C1648 - Impedire l'attivazione remota di dispositivi di elaborazione collaborativi | Manuale, Disabilitato | 1.1.0 |
Certificati di infrastruttura a chiave pubblica
ID: NIST SP 800-53 Rev. 5 SC-17 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
Codice mobile
ID: NIST SP 800-53 Rev. 5 SC-18 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice per dispositivi mobili | CMA_C1653 - Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice per dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
Definire tecnologie di codice mobile accettabili e inaccettabili | CMA_C1651 - Definire tecnologie di codice per dispositivi mobili accettabili e inaccettabili | Manuale, Disabilitato | 1.1.0 |
Stabilire restrizioni di utilizzo per le tecnologie di codice per dispositivi mobili | CMA_C1652 - Stabilire restrizioni di utilizzo per le tecnologie di codice per dispositivi mobili | Manuale, Disabilitato | 1.1.0 |
Secure Name/address Resolution Service (origine autorevole)
ID: NIST SP 800-53 Rev. 5 SC-20 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare un servizio nome/indirizzo a tolleranza di errore | CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore | Manuale, Disabilitato | 1.1.0 |
Fornire servizi di risoluzione dei nomi e degli indirizzi sicuri | CMA_0416 - Fornire servizi di risoluzione dei nomi e degli indirizzi sicuri | Manuale, Disabilitato | 1.1.0 |
Servizio di risoluzione dei nomi/indirizzi sicuri (resolver ricorsivo o di memorizzazione nella cache)
ID: NIST SP 800-53 Rev. 5 SC-21 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare un servizio nome/indirizzo a tolleranza di errore | CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Architettura e provisioning per il servizio di risoluzione dei nomi/indirizzi
ID: NIST SP 800-53 Rev. 5 SC-22 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Implementare un servizio nome/indirizzo a tolleranza di errore | CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore | Manuale, Disabilitato | 1.1.0 |
Autenticità della sessione
ID: NIST SP 800-53 Rev. 5 SC-23 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Applicare identificatori di sessione univoci casuali | CMA_0247 - Applicare identificatori di sessione univoci casuali | Manuale, Disabilitato | 1.1.0 |
Invalidare gli identificatori di sessione in Disconnessione
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Invalidare gli identificatori di sessione alla disconnessione | CMA_C1661 - Invalidare gli identificatori di sessione alla disconnessione | Manuale, Disabilitato | 1.1.0 |
Errore in uno stato conosciuto
ID: NIST SP 800-53 Rev. 5 SC-24 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare che il sistema informativo non riesca nello stato noto | CMA_C1662 - Verificare che il sistema informativo non riesca nello stato noto | Manuale, Disabilitato | 1.1.0 |
Protezione delle informazioni inattive
ID: NIST SP 800-53 Rev. 5 SC-28 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Isolamento del processo
ID: NIST SP 800-53 Rev. 5 SC-39 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gestire domini di esecuzione separati per i processi in esecuzione | CMA_C1665 - Gestire domini di esecuzione separati per i processi in esecuzione | Manuale, Disabilitato | 1.1.0 |
Integrità del sistema e delle informazioni
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SI-1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | CMA_C1667 - Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni | Manuale, Disabilitato | 1.1.0 |
Correzione degli errori
ID: NIST SP 800-53 Rev. 5 SI-2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Integrare la correzione dei difetti nella gestione della configurazione | CMA_C1671 - Incorpora correzione dei difetti nella gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
I database SQL devono avere i risultati della vulnerabilità risolti | Monitorare i risultati e le raccomandazioni per l'analisi della valutazione della vulnerabilità per correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
Stato di correzione automatica dei difetti
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare la correzione degli errori | CMA_0027 - Automatizzare la correzione degli errori | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Tempo necessario per correggere i difetti e i benchmark per le azioni correttive
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Stabilire benchmark per la correzione dei difetti | CMA_C1675 - Stabilire benchmark per la correzione dei difetti | Manuale, Disabilitato | 1.1.0 |
Misurare il tempo tra l'identificazione dei difetti e la correzione dei difetti | CMA_C1674 - Misurare il tempo tra l'identificazione dei difetti e la correzione dei difetti | Manuale, Disabilitato | 1.1.0 |
Rimozione di versioni precedenti di software e firmware
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
Protezione dal malware
ID: NIST SP 800-53 Rev. 5 SI-3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
Esaminare lo stato della protezione dalle minacce ogni settimana | CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana | Manuale, Disabilitato | 1.1.0 |
Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Monitoraggio di sistema
ID: NIST SP 800-53 Rev. 5 SI-4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Ottenere un parere legale per le attività del sistema di monitoraggio | CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Fornire informazioni di monitoraggio in base alle esigenze | CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Strumenti e meccanismi automatizzati per l'analisi in tempo reale
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
Traffico delle comunicazioni in ingresso e in uscita
ID: NIST SP 800-53 Rev. 5 SI-4 (4) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare, monitorare e controllare voip | CMA_0025 - Autorizzare, monitorare e controllare voip | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Instradare il traffico attraverso i punti di accesso alla rete gestita | CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita | Manuale, Disabilitato | 1.1.0 |
Avvisi generati dal sistema
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Avvisi automatizzati generati dall'organizzazione
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Rilevamento intrusioni wireless
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare i controlli di sicurezza dell'accesso wireless | CMA_C1695 - Documentare i controlli di sicurezza dell'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Servizi di rete non autorizzati
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Rilevare i servizi di rete che non sono stati autorizzati o approvati | CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
Indicatori di compromissione
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Individuare eventuali indicatori di compromissione | CMA_C1702 - Individuare eventuali indicatori di compromissione | Manuale, Disabilitato | 1.1.0 |
Avvisi, avvisi di sicurezza e direttive
ID: NIST SP 800-53 Rev. 5 SI-5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Diffondere gli avvisi di sicurezza al personale | CMA_C1705 - Distribuire avvisi di sicurezza al personale | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di intelligence per le minacce | CMA_0260 - Stabilire un programma di intelligence per le minacce | Manuale, Disabilitato | 1.1.0 |
Generare avvisi di sicurezza interni | CMA_C1704 - Generare avvisi di sicurezza interni | Manuale, Disabilitato | 1.1.0 |
Implementare le direttive di sicurezza | CMA_C1706 - Implementare le direttive di sicurezza | Manuale, Disabilitato | 1.1.0 |
Avvisi e avvisi automatizzati
ID: NIST SP 800-53 Rev. 5 SI-5 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare meccanismi automatizzati per gli avvisi di sicurezza | CMA_C1707 - Usare meccanismi automatizzati per gli avvisi di sicurezza | Manuale, Disabilitato | 1.1.0 |
Verifica delle funzioni di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 SI-6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Creare azioni alternative per le anomalie identificate | CMA_C1711 - Creare azioni alternative per le anomalie identificate | Manuale, Disabilitato | 1.1.0 |
Notificare al personale eventuali test di verifica della sicurezza non superati | CMA_C1710 - Notificare al personale eventuali test di verifica della sicurezza non superati | Manuale, Disabilitato | 1.1.0 |
Eseguire la verifica delle funzioni di sicurezza a una frequenza definita | CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
Verificare le funzioni di sicurezza | CMA_C1708 - Verificare le funzioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Integrità di software, firmware e informazioni
ID: NIST SP 800-53 Rev. 5 SI-7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Controlli di integrità
ID: NIST SP 800-53 Rev. 5 SI-7 (1) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Risposta automatica alle violazioni dell'integrità
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | Manuale, Disabilitato | 1.1.0 |
Convalida dell'input di informazioni
ID: NIST SP 800-53 Rev. 5 SI-10 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire la convalida dell'input delle informazioni | CMA_C1723 - Eseguire la convalida dell'input delle informazioni | Manuale, Disabilitato | 1.1.0 |
Gestione errori
ID: NIST SP 800-53 Rev. 5 SI-11 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Generare messaggi di errore | CMA_C1724 - Generare messaggi di errore | Manuale, Disabilitato | 1.1.0 |
Visualizzare i messaggi di errore | CMA_C1725 - Visualizzare i messaggi di errore | Manuale, Disabilitato | 1.1.0 |
Gestione e conservazione delle informazioni
ID: NIST SP 800-53 Rev. 5 SI-12 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività e l'analisi delle etichette | CMA_0474 - Esaminare l'attività e l'analisi delle etichette | Manuale, Disabilitato | 1.1.0 |
Protezione della memoria
ID: NIST SP 800-53 Rev. 5 SI-16 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.