Controlli di conformità alle normative di Criteri di Azure per Macchine virtuali di Azure
Si applica a: ✔️ Macchine virtuali ✔️ Linux Macchine virtuali ✔️ Windows Set di scalabilità flessibili Set ✔️ di scalabilità uniformi
La conformità alle normative di Criteri di Azure offre definizioni di iniziative create e gestite da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Macchine virtuali di Azure. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
Australian Government ISM PROTECTED
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - Australian Government ISM PROTECTED. Per altre informazioni su questo standard di conformità, vedere Australian Government ISM PROTECTED.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 415 | Identificazione utente - 415 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a singolo fattore - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a singolo fattore - 421 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a singolo fattore - 421 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 421 | Autenticazione a singolo fattore - 421 | I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | 3.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso con privilegi ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso con privilegi ai sistemi - 445 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso con privilegi ai sistemi - 445 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 445 | Accesso con privilegi ai sistemi - 445 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la crittografia - Nozioni fondamentali sulla crittografia | 459 | Crittografia dei dati inattivi - 459 | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Linee guida per il monitoraggio dei sistemi - Registrazione e controllo degli eventi | 582 | Eventi da registrare - 582 | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch alle vulnerabilità di sicurezza - 940 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch alle vulnerabilità di sicurezza - 940 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch alle vulnerabilità di sicurezza - 940 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 940 | Quando applicare patch alle vulnerabilità di sicurezza - 940 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la crittografia - Transport Layer Security | 1139 | Uso di Transport Layer Security - 1139 | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch alle vulnerabilità di sicurezza - 1144 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch alle vulnerabilità di sicurezza - 1144 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch alle vulnerabilità di sicurezza - 1144 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1144 | Quando applicare patch alle vulnerabilità di sicurezza - 1144 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la rete - Progettazione e configurazione della rete | 1182 | Controlli di accesso alla rete - 1182 | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Linee guida per la rete - Progettazione e configurazione della rete | 1182 | Controlli di accesso alla rete - 1182 | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Linee guida per sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per sistemi di database - Server di database | 1277 | Comunicazioni tra server di database e server Web - 1277 | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Linee guida per i gateway - Filtro del contenuto | 1288 | Analisi antivirus - 1288 | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Linee guida per la gestione di sistemi - Amministrazione dei sistemi | 1386 | Restrizione dei flussi di traffico di gestione - 1386 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1407 | Versioni del sistema operativo - 1407 | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1407 | Versioni del sistema operativo - 1407 | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1417 | Software antivirus - 1417 | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Linee guida per sistemi di database - Server di database | 1425 | Protezione del contenuto del server di database - 1425 | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch alle vulnerabilità di sicurezza - 1472 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch alle vulnerabilità di sicurezza - 1472 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch alle vulnerabilità di sicurezza - 1472 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1472 | Quando applicare patch alle vulnerabilità di sicurezza - 1472 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata del sistema operativo | 1490 | Controllo applicazione - 1490 | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch alle vulnerabilità di sicurezza - 1494 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch alle vulnerabilità di sicurezza - 1494 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch alle vulnerabilità di sicurezza - 1494 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1494 | Quando applicare patch alle vulnerabilità di sicurezza - 1494 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch alle vulnerabilità di sicurezza - 1495 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch alle vulnerabilità di sicurezza - 1495 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch alle vulnerabilità di sicurezza - 1495 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1495 | Quando applicare patch alle vulnerabilità di sicurezza - 1495 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch alle vulnerabilità di sicurezza - 1496 | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch alle vulnerabilità di sicurezza - 1496 | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch alle vulnerabilità di sicurezza - 1496 | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Linee guida per la gestione di sistemi - Distribuzione di patch nei sistemi | 1496 | Quando applicare patch alle vulnerabilità di sicurezza - 1496 | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1503 | Accesso standard ai sistemi - 1503 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso con privilegi ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso con privilegi ai sistemi - 1507 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso con privilegi ai sistemi - 1507 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1507 | Accesso con privilegi ai sistemi - 1507 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso con privilegi ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso con privilegi ai sistemi - 1508 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso con privilegi ai sistemi - 1508 | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso con privilegi ai sistemi - 1508 | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Linee guida per la sicurezza del personale - Accesso ai sistemi e alle relative risorse | 1508 | Accesso con privilegi ai sistemi - 1508 | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Linee guida per la gestione dei sistemi - Backup e ripristino dei dati | 1511 | Esecuzione di backup - 1511 | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione nei sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione nei sistemi - 1546 | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione nei sistemi - 1546 | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione nei sistemi - 1546 | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Linee guida per la protezione avanzata dei sistemi - Protezione avanzata dell'autenticazione | 1546 | Autenticazione nei sistemi - 1546 | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Canada Federal PBMM
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - Canada Federal PBMM. Per altre informazioni su questo standard di conformità, vedere Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
2 Centro sicurezza | 2.10 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
2 Centro sicurezza | 2.12 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
2 Centro sicurezza | 2,13 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora l'inserimento delle applicazioni adattive nell'elenco elementi consentiti" non sia disabilitata | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
2 Centro sicurezza | 2.3 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora aggiornamenti del sistema" non sia disabilitata | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
2 Centro sicurezza | 2.4 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
2 Centro sicurezza | 2.5 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora protezione endpoint" non sia disabilitata | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
2 Centro sicurezza | 2.6 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia disco" non sia disabilitata | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
2 Centro sicurezza | 2.7 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora gruppi di sicurezza di rete" non sia disabilitata | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
2 Centro sicurezza | 2,9 | Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
7 Macchine virtuali | 7.1 | Assicurarsi che il "Disco del sistema operativo" sia crittografato | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.2 | Assicurarsi che i "Dischi dati" siano crittografati | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
7 Macchine virtuali | 7.1 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 Macchine virtuali | 7.2 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con cmk | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
7 Macchine virtuali | 7.1 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 Macchine virtuali | 7.2 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con la chiave gestita dal cliente (CMK) | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 Macchine virtuali | 7.4 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 Macchine virtuali | 7.5 | Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
7 Macchine virtuali | 7.6 | Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure dettagli sulla conformità alle normative per CIS v2.0.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
2.1 | 2.1.13 | Assicurarsi che lo stato "Applica gli aggiornamenti di sistema" sia "Completato" di Microsoft Defender Recommendation | I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti di sistema mancanti | 3.7.0 |
6 | 6.1 | Assicurarsi che l'accesso RDP da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
6 | 6.2 | Assicurarsi che l'accesso SSH da Internet venga valutato e limitato | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
7 | 7.2 | Assicurarsi che Macchine virtuali usi Managed Disks | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
7 | 7.3 | Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con la chiave gestita dal cliente (CMK) | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
7 | 7.4 | Assicurarsi che i dischi non collegati siano crittografati con "Chiave gestita dal cliente" (CMK) | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
7 | 7.5 | Assicurarsi che siano installate solo le estensioni approvate | Devono essere installate solo le estensioni macchina virtuale approvate | 1.0.0 |
7 | 7.6 | Assicurarsi che Endpoint Protection per tutte le Macchine virtuali sia installato | Endpoint Protection deve essere installato nei computer | 1.0.0 |
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.1.003 | Verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | AC.1.003 | Verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | AC.2.007 | Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.2.008 | Usare account o ruoli senza privilegi quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Controllo dell’accesso | AC.2.008 | Usare account o ruoli senza privilegi quando si accede a funzioni non di sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | AC.2.013 | Monitorare e controllare le sessioni di accesso remoto. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | AC.3.017 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | AC.3.018 | Impedire agli utenti senza privilegi di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Controllo dell’accesso | AC.3.021 | Autorizzare l'esecuzione remota di comandi con privilegi e accesso remoto alle informazioni rilevanti per la sicurezza. | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti di sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenute responsabili delle loro azioni. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti di sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenute responsabili delle loro azioni. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti di sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenute responsabili delle loro azioni. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti di sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenute responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.2.041 | Assicurarsi che le azioni dei singoli utenti di sistema possano essere tracciate in modo univoco a tali utenti in modo che possano essere ritenute responsabili delle loro azioni. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.2.042 | Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.3.046 | Avviso in caso di errore di un processo di registrazione di controllo. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | AU.3.048 | Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi dell'organizzazione per determinare se i controlli sono efficaci nell'applicazione. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi dell'organizzazione per determinare se i controlli sono efficaci nell'applicazione. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi dell'organizzazione per determinare se i controlli sono efficaci nell'applicazione. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi dell'organizzazione per determinare se i controlli sono efficaci nell'applicazione. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.2.158 | Valutare periodicamente i controlli di sicurezza nei sistemi dell'organizzazione per determinare se i controlli sono efficaci nell'applicazione. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Valutazione della sicurezza | CA.3.161 | Monitorare i controlli di sicurezza in modo continuativo per garantire la continua efficacia dei controlli. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Gestione della configurazione | CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.2.061 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | 2.2.0 |
Gestione della configurazione | CM.2.062 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | CM.2.063 | Controllare e monitorare il software installato dall'utente. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Gestione della configurazione | CM.2.064 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Gestione della configurazione | CM.2.065 | Tenere traccia, esaminare, approvare o annullare l'approvazione e registrare le modifiche apportate ai sistemi dell'organizzazione. | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Gestione della configurazione | CM.3.069 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | 2.1.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.078 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | 2.1.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.079 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | IA.2.081 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | IA.3.084 | Usare meccanismi di autenticazione resistenti alla riproduzione per l'accesso di rete agli account con privilegi e senza privilegi. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Risposta all'incidente | IR.2.093 | Rilevare e segnalare eventi. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Ripristino | RE.2.137 | Eseguire regolarmente e testare i backup dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Ripristino | RE.2.137 | Eseguire regolarmente e testare i backup dei dati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
Ripristino | RE.3.139 | Eseguire regolarmente backup completi e resilienti dei dati come definiti dall'organizzazione. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Ripristino | RE.3.139 | Eseguire regolarmente backup completi e resilienti dei dati come definiti dall'organizzazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.141 | Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), asset organizzativi e singoli utenti, risultanti dal funzionamento dei sistemi organizzativi e dall'elaborazione, archiviazione o trasmissione associata di CUI. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.142 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.1.176 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.2.179 | Usare sessioni crittografate per la gestione dei dispositivi di rete. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Protezione del sistema e delle comunicazioni | SC.3.181 | Separare le funzionalità utente dalla funzionalità di gestione del sistema. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Protezione del sistema e delle comunicazioni | SC.3.185 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.3.190 | Proteggere l'autenticità delle sessioni di comunicazione. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Protezione del sistema e delle comunicazioni | SC.3.191 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | SI.1.211 | Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | SI.1.212 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | SI.1.213 | Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione di file. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
HIPAA HITRUST 9.2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Identificazione e autenticazione utente | 11210.01q2Organizational.10 - 01.q | Le firme elettroniche e le firme a mano eseguite in record elettronici dovranno essere collegate ai rispettivi record elettronici. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Identificazione e autenticazione utente | 11211.01q2Organizational.11 - 01.q | I record elettronici firmati conterranno informazioni associate alla firma in formato leggibile. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | 1.1.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protezione da codice dannoso e mobile | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
03 Portable Media Security | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 Gestione dei supporti | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Gestione della configurazione 06 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Gestione della configurazione 06 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | 3.0.0 |
Gestione della configurazione 06 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicurezza dei file di sistema | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | 3.0.0 |
Gestione della configurazione 06 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
Gestione della configurazione 06 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Sicurezza nei processi di sviluppo e supporto | I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gestione delle vulnerabilità tecniche | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | 3.0.0 |
07 Gestione delle vulnerabilità | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Gestione delle vulnerabilità tecniche | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
07 Gestione delle vulnerabilità | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
07 Gestione delle vulnerabilità | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 Technical Vulnerability Management | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
07 Gestione delle vulnerabilità | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 Technical Vulnerability Management | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
07 Gestione delle vulnerabilità | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Gestione delle vulnerabilità tecniche | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
08 Protezione di rete | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network Controllo di accesso | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
08 Protezione di rete | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gestione della sicurezza di rete | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
08 Protezione di rete | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
08 Protezione di rete | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | 3.0.0 |
08 Protezione di rete | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Gestione della sicurezza di rete | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
08 Protezione di rete | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Gestione della sicurezza di rete | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | 3.0.0 |
08 Protezione di rete | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
08 Protezione di rete | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Gestione della sicurezza di rete | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
08 Protezione di rete | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Network Controllo di accesso | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Back-up | 1699.09l1Organizational.10 - 09.l | I ruoli e le responsabilità dei membri della forza lavoro nel processo di backup dei dati vengono identificati e comunicati alla forza lavoro; in particolare gli utenti in modalità BYOD (Bring Your Own Device) sono tenuti a eseguire i backup dei dati dell'organizzazione e/o dei clienti nei loro dispositivi. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
09 Protezione trasmissione | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servizi commerciali elettronici | Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | 3.0.0 |
Controllo del software operativo | 0606.10h2System.1 - 10.h | Le applicazioni e i sistemi operativi vengono correttamente testati per verificarne l'usabilità, la sicurezza e l'impatto prima del passaggio in produzione. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Controllo del software operativo | 0607.10h2System.23 - 10.h | L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Controllo del software operativo | 0607.10h2System.23 - 10.h | L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
11 Controllo di accesso | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Accesso autorizzato ai sistemi informativi | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Sistema operativo Controllo di accesso | Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Sistema operativo Controllo di accesso | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Sistema operativo Controllo di accesso | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
11 Controllo di accesso | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Accesso autorizzato ai sistemi informativi | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | 3.0.0 |
11 Controllo di accesso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Accesso autorizzato ai sistemi informativi | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Network Controllo di accesso | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
11 Controllo di accesso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Network Controllo di accesso | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
11 Controllo di accesso | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 Network Controllo di accesso | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Monitoraggio | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 12100.09ab2System.15-09.ab | Monitoraggio 12100.09ab2System.15-09.ab 09.10 | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitoraggio | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
12 Registrazione di controllo e monitoraggio | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitoraggio | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitoraggio | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
12 Registrazione di controllo e monitoraggio | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitoraggio | Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | 2.0.0 |
12 Registrazione di controllo e monitoraggio | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | 3.0.0 |
12 Registrazione di controllo e monitoraggio | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedure operative documentate | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Informazioni di backup | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Informazioni di backup | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspetti della sicurezza delle informazioni della gestione della continuità aziendale | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspetti della sicurezza delle informazioni della gestione della continuità aziendale | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | 3.0.0 |
16 Continuità aziendale e ripristino di emergenza | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspetti della sicurezza delle informazioni della gestione della continuità aziendale | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
IRS 1075 settembre 2016
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere conformità alle normative Criteri di Azure - IRS 1075 settembre 2016. Per altre informazioni su questo standard di conformità, vedere IRS 1075 settembre 2016.
ISO 27001:2013
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - ISO 27001:2013. Per altre informazioni su questo standard di conformità, vedere ISO 27001:2013.
Criteri riservati di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
SO.4 - Azure Confidential Computing | SO.4 | I prodotti Azure devono essere configurati per l'uso degli SKU di Confidential Computing di Azure, quando possibile. | SKU di dimensioni di macchine virtuali consentiti | 1.0.1 |
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | L'autenticazione nei computer Linux deve richiedere chiavi SSH | 3.2.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.1 | Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Controllo dell’accesso | 3.1.12 | Monitorare e controllare le sessioni di accesso remoto. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.13 | Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.14 | Instradare l'accesso remoto tramite punti di controllo di accesso gestito. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.2 | Limitare l'accesso di sistema ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | 2.0.0 |
Controllo dell’accesso | 3.1.4 | Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. | Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | 2.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | 3.11.2 | Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Valutazione dei rischi | 3.11.3 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
Protezione del sistema e delle comunicazioni | 3.13.8 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.2 | Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.3 | Monitorare gli avvisi e gli avvisi di sicurezza del sistema e intervenire in risposta. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.4 | Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi dell'organizzazione e analisi in tempo reale dei file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi dell'organizzazione e analisi in tempo reale dei file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi dell'organizzazione e analisi in tempo reale dei file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi dell'organizzazione e analisi in tempo reale dei file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Integrità del sistema e delle informazioni | 3.14.5 | Eseguire analisi periodiche dei sistemi dell'organizzazione e analisi in tempo reale dei file da origini esterne quando i file vengono scaricati, aperti o eseguiti. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.6 | Monitorare i sistemi aziendali, incluso il traffico delle comunicazioni in ingresso e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Integrità del sistema e delle informazioni | 3.14.7 | Identificare l'uso non autorizzato dei sistemi dell'organizzazione. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | 3.3.1 | Creare e conservare i log di controllo e i record di sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la segnalazione di attività illecite o non autorizzate del sistema | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Le macchine virtuali devono essere connesse a un'area di lavoro specificata | 1.1.0 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
Controllo e responsabilità | 3.3.2 | Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | 2.2.0 |
Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure | 2.0.0 |
Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | 2.2.0 |
Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure | 2.0.0 |
Gestione della configurazione | 3.4.6 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.6 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.7 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.7 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.8 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.8 | Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Gestione della configurazione | 3.4.9 | Controllare e monitorare il software installato dall'utente. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
Gestione della configurazione | 3.4.9 | Controllare e monitorare il software installato dall'utente. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.10 | Archiviare e trasmettere solo le password protette con crittografia. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | L'autenticazione nei computer Linux deve richiedere chiavi SSH | 3.2.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
Identificazione e autenticazione | 3.5.2 | Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.4 | Usare meccanismi di autenticazione resistenti alla riproduzione per l'accesso di rete agli account con privilegi e senza privilegi. | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | 3.0.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | 2.1.0 |
Identificazione e autenticazione | 3.5.7 | Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | 2.1.0 |
Identificazione e autenticazione | 3.5.8 | Proibire il riutilizzo delle password per un numero specificato di generazioni. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Protezione dei supporti | 3.8.9 | Proteggere la riservatezza del backup CUI in posizioni di archiviazione. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Baseline Information Security Cybersecurity - Digital Government (Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale) (digitaleoverheid.nl).
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
C.04.8 Technical gestione delle vulnerabilità - Valutato | C.04.8 | I report di valutazione contengono suggerimenti per migliorare e vengono comunicati con manager/proprietari. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.03.1 Business Continuity Services - Ridondanza | U.03.1 | La continuità concordata è garantita da funzioni di sistema sufficientemente logiche o fisiche. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.03.2 Business Continuity Services - Requisiti di continuità | U.03.2 | I requisiti di continuità per i servizi cloud concordati con il CSC sono assicurati dall'architettura di sistema. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
U.04.1 Data and Cloud Service Recovery - Funzione di ripristino | U.04.1 | I dati e i servizi cloud vengono ripristinati entro il periodo concordato e la perdita massima dei dati e resi disponibili al CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.04.2 Data and Cloud Service Recovery - Funzione di ripristino | U.04.2 | Viene monitorato il processo continuo di protezione recuperabile dei dati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.04.3 Data and Cloud Service Recovery - Test | U.04.3 | Il funzionamento delle funzioni di ripristino viene testato periodicamente e i risultati vengono condivisi con il CSC. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato dell'arte più recente. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le risorse di accesso al disco devono usare un collegamento privato | 1.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | È consigliabile chiudere le porte di gestione nelle macchine virtuali | 3.0.0 |
U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | 1.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | Windows Defender Exploit Guard deve essere abilitato nei computer | 2.0.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
U.11.1 Cryptoservices - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
U.11.1 Cryptoservices - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.11.1 Cryptoservices - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
U.11.2 Cryptoservices - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
U.11.2 Cryptoservices - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
U.11.2 Cryptoservices - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | 6.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | 5.1.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | 3.1.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | 4.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | 2.0.0-preview |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | 1.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | 3.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | 1.0.0 |
U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili sono sempre crittografati, con chiavi private gestite dal CSC. | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Interfacce U.12.1 - Connessioni di rete | U.12.1 | Nei punti di connessione con zone esterne o non attendibili, vengono adottate misure contro gli attacchi. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Interfacce U.12.2 - Connessioni di rete | U.12.2 | I componenti di rete sono tali che le connessioni di rete tra reti attendibili e non attendibili sono limitate. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione configurazione guest deve essere installata nei computer | 1.0.3 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | 1.0.0 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | 1.0.1 |
Registrazione e monitoraggio U.15.3 - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
Registrazione e monitoraggio U.15.3 - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | 2.0.0 |
Registrazione e monitoraggio U.15.3 - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.0 |
Registrazione e monitoraggio U.15.3 - Eventi registrati | U.15.3 | CSP gestisce un elenco di tutti gli asset critici in termini di registrazione e monitoraggio ed esamina questo elenco. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
Architettura multi-tenant U.17.1 - Crittografata | U.17.1 | I dati CSC sul trasporto e inattivi vengono crittografati. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
Architettura multi-tenant U.17.1 - Crittografata | U.17.1 | I dati CSC sul trasporto e inattivi vengono crittografati. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
PCI DSS 3.2.1
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere PCI DSS 3.2.1. Per altre informazioni su questo standard di conformità, vedere PCI DSS 3.2.1.
PCI DSS v4.0
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Dettagli sulla conformità alle normative per PCI DSS v4.0. Per altre informazioni su questo standard di conformità, vedere PCI DSS v4.0.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
Requisito 01: Installare e gestire i controlli di sicurezza di rete | 1.3.2 | L'accesso alla rete da e verso l'ambiente dati dei titolari di carte è limitato | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Requisito 01: Installare e gestire i controlli di sicurezza di rete | 1.4.2 | Le connessioni di rete tra reti attendibili e non attendibili sono controllate | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte | 10.2.2 | I log di controllo vengono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte | 10.3.3 | I log di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate | È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | 1.0.0 |
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti | 11.3.1 | Le vulnerabilità esterne e interne vengono identificate regolarmente, classificate in ordine di priorità e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 03: Proteggere i dati dell'account archiviati | 3.5.1 | Il numero di account primario (PAN) è protetto ovunque sia archiviato | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.1 | Il software dannoso (malware) viene impedito o rilevato e risolto | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.1 | Il software dannoso (malware) viene impedito o rilevato e risolto | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.1 | Il software dannoso (malware) viene impedito o rilevato e risolto | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.1 | Il software dannoso (malware) viene impedito o rilevato e risolto | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.2 | Il software dannoso (malware) viene impedito o rilevato e risolto | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.2 | Il software dannoso (malware) viene impedito o rilevato e risolto | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.2 | Il software dannoso (malware) viene impedito o rilevato e risolto | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.2 | Il software dannoso (malware) viene impedito o rilevato e risolto | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.3 | Il software dannoso (malware) viene impedito o rilevato e risolto | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.3 | Il software dannoso (malware) viene impedito o rilevato e risolto | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.3 | Il software dannoso (malware) viene impedito o rilevato e risolto | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 05: Proteggere tutti i sistemi e le reti da software dannoso | 5.2.3 | Il software dannoso (malware) viene impedito o rilevato e risolto | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.2.4 | Il software personalizzato e personalizzato viene sviluppato in modo sicuro | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.3.3 | Le vulnerabilità di sicurezza vengono identificate e risolte | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette da attacchi | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette da attacchi | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette da attacchi | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
Requisito 06: Sviluppare e gestire sistemi e software sicuri | 6.4.1 | Le applicazioni Web pubbliche sono protette da attacchi | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | 2.1.0 |
Requisito 08: Identificare gli utenti e autenticare l'accesso ai componenti di sistema | 8.3.6 | L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
Reserve Bank of India - IT Framework for NBFC
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework per NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
SWIFT CSP-CSCF v2021
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Dettagli sulla conformità alle normative per SWIFT CSP-CSCF v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2022.
Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
---|---|---|---|---|
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.1 | Verificare la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.2 | Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.3 | Proteggere la piattaforma di virtualizzazione e le macchine virtuali che ospitano componenti correlati a SWIFT allo stesso livello dei sistemi fisici. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.4 | Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura. | Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | 3.0.0 |
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale | 1.5A | Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e gli elementi potenzialmente compromessi dell'ambiente IT generale. | L'inoltro IP nella macchina virtuale deve essere disabilitato | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati dell'applicazione tra i componenti locali correlati a SWIFT. | L'autenticazione nei computer Linux deve richiedere chiavi SSH | 3.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati dell'applicazione tra i componenti locali correlati a SWIFT. | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Controlla le macchine virtuali Windows in attesa di riavvio | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.2 | Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato. | Gli aggiornamenti di sistema devono essere installati nelle macchine | 4.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.3 | Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema. | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Back-office Flusso di dati Security | L'autenticazione nei computer Linux deve richiedere chiavi SSH | 3.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.4A | Back-office Flusso di dati Security | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati di trasmissione esterna | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati di trasmissione esterna | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati di trasmissione esterna | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.5A | Protezione dei dati di trasmissione esterna | Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | 2.0.3 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi) | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi) | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi) | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi) | I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | 4.1.1 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.6 | Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi) | I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | 3.0.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | 3.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità | 2.7 | Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati. | Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | 3.0.0 |
3. Proteggere fisicamente l'ambiente | 3.1 | Impedire l'accesso fisico non autorizzato a apparecchiature sensibili, ambienti di lavoro, siti di hosting e archiviazione. | Controlla macchine virtuali che non usano dischi gestiti | 1.0.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Linux che consentono connessioni remote da account senza password | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Linux in cui sono presenti account senza password | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Windows che non hanno la validità minima della password impostata sul numero di giorni specificato | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | 2.0.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | 2.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | 3.1.0 |
4. Impedire la compromissione delle credenziali | 4.1 | Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori. | Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | 2.0.0 |
5. Gestire le identità e separare i privilegi | 5.1 | Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
5. Gestire le identità e separare i privilegi | 5,2 | Verificare la corretta gestione, il rilevamento e l'uso dell'autenticazione hardware connessa e disconnessa o dei token personali (quando vengono usati i token). | Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | 3.0.0 |
5. Gestire le identità e separare i privilegi | 5.4 | Proteggere fisicamente e logicamente il repository di password registrate. | Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | 2.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | 3.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | 1.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | 1.1.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.1 | Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati. | Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | 3.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | 2.0.1-preview |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | 4.1.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | 4.1.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | 1.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | 3.0.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | 1.2.0 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | 2.0.1 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | 1.0.1 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.4 | Registrare eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale. | Per le macchine virtuali deve essere installata l'estensione Log Analytics | 1.0.1 |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | 1.0.2-preview |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | 1.0.2-preview |
6. Rilevare un'attività anomala nei sistemi o nei record delle transazioni | 6.5A | Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto. | Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | 3.0.0 |
UK OFFICIAL e UK NHS
Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - UK OFFICIAL e UK NHS. Per altre informazioni su questo standard di conformità, vedere UK OFFICIAL.
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.