Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca Criteri di Azure definizioni di criteri predefinite correlate a Microsoft cloud security benchmark v2 (anteprima). Ogni controllo del benchmark viene mappato a una o più definizioni di Criteri di Azure.
Compliant in Criteri di Azure fa riferimento solo alle definizioni dei criteri stesse. Ciò non garantisce la conformità completa a tutti i requisiti di un controllo. Lo standard di conformità include controlli non risolti da alcuna definizione di Criteri di Azure in questo momento. Pertanto, la conformità in Criteri di Azure è solo una visualizzazione parziale dello stato di conformità complessivo.
Le associazioni tra controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo.
AI-1: Garantire l'uso di modelli approvati
Per altre informazioni, vedere Artificial Intelligence Security: AI-1: Ensure use of approved models (Sicurezza dell'intelligenza artificiale: AI-1: Garantire l'uso dei modelli approvati).
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| [Anteprima]: le distribuzioni di Azure Machine Learning devono usare solo modelli del Registro di sistema approvati | Limitare la distribuzione dei modelli del Registro di sistema per controllare i modelli creati esternamente usati all'interno dell'organizzazione | Revisione; Negare; Disabile | 1.0.0-preview |
| [Anteprima]: le distribuzioni del Registro di sistema dei modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuisci solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | non disponibile | 1.0.0-preview |
AM-2: Usare solo i servizi approvati
Per altre informazioni, vedere Gestione asset: AM-2: Usare solo i servizi approvati.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Gestione API di Azure versione della piattaforma deve essere stv2 | Gestione API di Azure versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni, vedere ritiro della piattaforma API Management stv1 - Cloud Azure globale (agosto 2024) | Revisione; Negare; Disabile | 1.0.0 |
| è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per gli account di archiviazione per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Revisione; Negare; Disabile | 1.0.0 |
| è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per gli account di archiviazione per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Revisione; Negare; Disabile | 1.0.0 |
AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset
Per altre informazioni, vedere Gestione asset: AM-3: Garantire la sicurezza della gestione del ciclo di vita degli asset.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Gestione API di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists; Disabile | 1.0.1 |
BR-1: Garantire backup automatici regolari
Per altre informazioni, vedere Backup e ripristino: BR-1: Garantire backup automatici regolari.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Backup di Azure deve essere abilitato per Macchine virtuali | Assicurarsi di proteggere i Macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | AuditIfNotExists; Disabile | 3.0.0 |
| Per Database di Azure per MySQL> | Database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
BR-2: Proteggere i dati di backup e ripristino
Per altre informazioni, vedere Backup e ripristino: BR-2: Proteggere i dati di backup e ripristino.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Backup di Azure deve essere abilitato per Macchine virtuali | Assicurarsi di proteggere i Macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | AuditIfNotExists; Disabile | 3.0.0 |
| Per Database di Azure per MySQL> | Database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 |
| Database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato su un backup con ridondanza geografica storage in cui i dati non vengono archiviati solo all'interno dell'area in cui è ospitato il server, ma viene replicato anche in un'area abbinata per fornire l'opzione di ripristino in caso di errore dell'area. La configurazione di storage con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Revisione; Disabile | 1.0.1 | |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per altre informazioni, vedere Concept of Immutable vault for Backup di Azure( | Revisione; Disabile | 1.0.1-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di backup nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per altre informazioni, vedere Concept of Immutable vault for Backup di Azure( | Revisione; Disabile | 1.0.1-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di backup nell'ambito. L'eliminazione temporanea consente di recuperare i dati dopo l'eliminazione. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea avanzata per Backup di Azure | Revisione; Disabile | 1.0.0-preview |
DP-1: individuare, classificare ed etichettare i dati sensibili
Per altre informazioni, vedere Protezione dei dati: DP-1: Individuare, classificare ed etichettare i dati sensibili.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili
Per altre informazioni, vedere Protezione dei dati: DP-2: Monitorare le anomalie e le minacce destinate ai dati sensibili.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
DP-3: Crittografare i dati sensibili in transito
Per altre informazioni, vedere Protezione dei dati: DP-3: Crittografare i dati sensibili in transito.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| le API API Management devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Revisione; Disabile; Negare | 2.0.2 |
| ambiente del servizio app deve essere configurato con suite di crittografia TLS più complesse | Le due suite di crittografia più minime e forti necessarie per il corretto funzionamento di ambiente del servizio app sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Revisione; Disabile | 1.0.0 |
| ambiente del servizio app deve essere disabilitato TLS 1.0 e 1.1 | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un ambiente del servizio app. | Revisione; Negare; Disabile | 2.0.1 |
| ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere Configurazione personalizzata per gli ambienti App Service. | Revisione; Disabile | 1.0.1 |
| App Service slot dell'app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| App Service slot delle app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 1.2.0 |
| App Service le app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| App Service le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Revisione; Disabile; Negare | 4.0.0 |
| le app App Service devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists; Disabile | 3.0.0 |
| App Service le app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.2.0 |
| I pool di Azure Batch devono avere la crittografia del disco abilitata | L'abilitazione della crittografia del disco Azure Batch garantisce che i dati siano sempre crittografati inattivi nel nodo di calcolo Azure Batch. Altre informazioni sulla crittografia dei dischi in Batch sono disponibili in Creare un pool con crittografia dischi abilitata. | Revisione; Disabile; Negare | 1.0.0 |
| Frontdoor di Azure Standard e Premium devono eseguire la versione minima di TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che i domini personalizzati siano accessibili dai client che usano TLS 1.2 o versione successiva. L'uso di versioni di TLS inferiori a 1.2 non è consigliato perché sono deboli e non supportano algoritmi di crittografia moderni. | Revisione; Negare; Disabile | 1.0.0 |
| I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Revisione; Negare; Disabile | 1.0.0 |
| database SQL di Azure deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS sulla versione 1.2 o successiva migliora la sicurezza assicurando che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile; Negare | 2.0.0 |
| servizio Bot endpoint deve essere un URI HTTPS valido | I dati possono essere manomessi durante la trasmissione. Esistono protocolli che forniscono la crittografia per risolvere i problemi di uso improprio e manomissione. Per assicurarsi che i bot comunichino solo su canali crittografati, impostare l'endpoint su un URI HTTPS valido. In questo modo si garantisce che il protocollo HTTPS venga usato per crittografare i dati in transito ed è spesso un requisito per la conformità agli standard normativi o del settore. Visitare: linee guida per la sicurezza di Bot Framework. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| La connessione SSL DiEnforce deve essere abilitata per i server di database MySQL | Database di Azure per MySQL supporta la connessione del server Database di Azure per MySQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Revisione; Disabile | 1.0.1 |
| La connessione SSL DiEnforce deve essere abilitata per i server di database PostgreSQL | Database di Azure per PostgreSQL supporta la connessione del server Database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Revisione; Disabile | 1.0.1 |
| gli slot dell'app Function devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.1.0 |
| gli slot dell'app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 1.3.0 |
| le app Function devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico all'interno del cluster front-end App Service e i ruoli di lavoro che eseguono carichi di lavoro dell'applicazione siano crittografati. | Revisione; Negare; Disabile | 1.1.0 |
| le app Function devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Revisione; Disabile; Negare | 5.1.0 |
| Le app Function devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists; Disabile | 3.1.0 |
| le app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.3.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Azure Arc Kubernetes abilitato. Per altre informazioni, visitare Understand Criteri di Azure per i cluster Kubernetes | revisione; Revisione; negare; Negare; disabile; Disabile | 8.2.0 |
| Le connessioni sicure al cache di Azure per Redis devono essere abilitate | Controllare l'abilitazione solo delle connessioni tramite SSL per cache di Azure per Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Revisione; Negare; Disabile | 1.0.0 |
| i server flessibili PostgreSQL devono eseguire TLS versione 1.2 o successiva | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente in esecuzione con la versione TLS precedente alla 1.2. | AuditIfNotExists; Disabile | 1.1.0 |
| Istanza gestita di SQL deve avere la versione minima di TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile | 1.0.1 |
| Il trasferimento sicuro agli account storage deve essere abilitato | Requisito di controllo del trasferimento sicuro nell'account storage. Il trasferimento sicuro è un'opzione che forza l'account storage ad accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Revisione; Negare; Disabile | 2.0.0 |
| gli account Storage devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account storage. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Revisione; Negare; Disabile | 1.0.0 |
| Windows i computer devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists; Disabile | 4.1.1 |
| [Anteprima]: le reti host e vm devono essere protette nei sistemi HCI Azure Stack | Proteggere i dati nella rete host HCI Azure Stack e nelle connessioni di rete delle macchine virtuali. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Per altre informazioni, vedere Protezione dei dati: DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server MySQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server MySQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.1.1 |
| Le variabili dell'account Automation devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Revisione; Negare; Disabile | 1.1.0 |
| Azure Data Box i processi devono abilitare la doppia crittografia per i dati inattivi nel dispositivo | Abilitare un secondo livello di crittografia basata su software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite crittografia avanzata standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Azure i dispositivi Edge Hardware Center devono avere il supporto della crittografia doppia abilitato | Assicurarsi che i dispositivi ordinati da Azure Edge Hardware Center dispongano del supporto della doppia crittografia abilitato per proteggere i dati inattivi nel dispositivo. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Revisione; Negare; Disabile | 2.0.0 |
| Azure HDInsight i cluster devono usare la crittografia nell'host per crittografare i dati inattivi | L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Storage. | Revisione; Negare; Disabile | 1.0.0 |
| Monitoraggio di Azure i cluster di log devono essere creati con la crittografia dell'infrastruttura abilitata (crittografia doppia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere Monitoraggio di Azure chiavi gestite dal cliente. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure server flessibile MySQL deve avere Microsoft Entra abilitata solo l'autenticazione | La disabilitazione dei metodi di autenticazione locale e la possibilità di Microsoft Entra l'autenticazione migliora la sicurezza assicurando che Azure server flessibile MySQL sia accessibile esclusivamente dalle identità Microsoft Entra. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure NetApp Files I volumi SMB devono usare la crittografia SMB3 | Non consentire la creazione di volumi SMB senza crittografia SMB3 per garantire l'integrità dei dati e la privacy dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Azure NetApp Files Volumi di tipo NFSv4.1 devono usare la crittografia dei dati Kerberos | Consentire solo l'uso della modalità di sicurezza Kerberos privacy (5p) per garantire che i dati siano crittografati. | Revisione; Negare; Disabile | 1.0.0 |
| i dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che siano crittografati due volte, il access ai dati sia controllato e, una volta disattivato il dispositivo, i dati vengono cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: BitLocker XTS-AES crittografia a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| La crittografia Disk deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. | Revisione; Negare; Disabile | 2.0.0 |
| È necessario abilitare la crittografia Double in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 2.0.0 |
| Gli spazi dei nomi Event Hub devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 1.0.0 |
| È necessario abilitare la crittografia Infrastructure per i server Database di Azure per MySQL | Abilitare la crittografia dell'infrastruttura per i server Database di Azure per MySQL per garantire una maggiore sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte usando chiavi gestite conformi Microsoft a FIPS 140-2. | Revisione; Negare; Disabile | 1.0.0 |
| È necessario abilitare la crittografia Infrastructure per i server Database di Azure per PostgreSQL | Abilitare la crittografia dell'infrastruttura per i server Database di Azure per PostgreSQL per garantire una maggiore sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte usando chiavi gestite conformi Microsoft a FIPS 140-2 | Revisione; Negare; Disabile | 1.0.0 |
| Le macchine virtualiLinux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Storage non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.2.1 |
| Managed disks deve essere crittografato con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per altre informazioni, vedere Crittografazione lato server di dischi gestiti Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi bus di servizio devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Quando è stata abilitata la doppia crittografia, i dati nell'account storage vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Revisione; Negare; Disabile | 1.0.0 |
| Servizio Fabric i cluster devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign | Il servizio Fabric offre tre livelli di protezione (Nessuno, Firma e EncryptAndSign) per la comunicazione da nodo a nodo usando un certificato del cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Revisione; Negare; Disabile | 1.1.0 |
| gli account Storage devono avere la crittografia dell'infrastruttura | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account storage vengono crittografati due volte. | Revisione; Negare; Disabile | 1.0.0 |
| i dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati in host | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Revisione; Negare; Disabile | 1.0.1 |
| Transparent Data Encryption deve essere abilitato per le istanze gestite di Arc SQL. | Abilitare Transparent Data Encryption (TDE) inattivi in un Istanza gestita di SQL abilitato per Azure Arc. Per altre informazioni, vedere Crittografa un database con Transparent Data Encryption manualmente in Istanza gestita di SQL abilitato da Azure Arc. | Revisione; Disabile | 1.0.0 |
| è necessario abilitare Transparent Data Encryption nei database SQL | Transparent data encryption devono essere abilitati per proteggere i dati inattivi e soddisfare i requisiti di conformità | AuditIfNotExists; Disabile | 2.0.0 |
| Virtual machines e virtual machine scale sets devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per altre informazioni, vedere Abilitare la crittografia end-to-end usando la crittografia nell'host. | Revisione; Negare; Disabile | 1.0.0 |
| Windows le macchine virtuali devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Storage non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.1.1 |
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Per altre informazioni, vedere Protezione dei dati: DP-5: Usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure le risorse dei servizi di intelligenza artificiale devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile. | Revisione; Negare; Disabile | 2.2.0 |
| Azure API per FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in Azure API per FHIR quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | revisione; Revisione; disabile; Disabile | 1.1.0 |
| gli account Automazione di Azure devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Encryption of secure assets in Automazione di Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Batch account deve usare chiavi gestite dal cliente per crittografare i dati | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografia dei dati dell'account Batch. | Revisione; Negare; Disabile | 1.0.1 |
| cache di Azure per Redis Enterprise deve usare chiavi gestite dal cliente per crittografare i dati del disco | Usare le chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei dati su disco. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite da piattaforma (PMK), ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare la crittografia del disco in cache di Azure per Redis. | Revisione; Negare; Disabile | 1.0.0 |
| Azure gruppo di contenitori dell'istanza del contenitore deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Disabile; Negare | 1.0.0 |
| gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi Customer-Managed. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure Data Box i processi devono usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono anche di gestire access alla password di sblocco del dispositivo tramite il servizio Data Box per preparare il dispositivo e copiare i dati in modo automatizzato. I dati nel dispositivo stesso sono già crittografati inattivi con crittografia avanzata a 256 bit e la password di sblocco del dispositivo viene crittografata per impostazione predefinita con una chiave gestita Microsoft. | Revisione; Negare; Disabile | 1.0.0 |
| Esplora dati di Azure la crittografia dei dati inattivi deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nel cluster Esplora dati di Azure offre un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un Key Vault per gestire le chiavi. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Databricks le aree di lavoro devono essere SKU Premium che supporta funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia | Consentire solo l'area di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Negare; Disabile | 1.0.1 |
| Azure gli account di Aggiornamento dispositivi devono usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in Azure Aggiornamento dispositivi con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Per altre informazioni, vedere:Crittografa dati per Aggiornamento dispositivi per hub IoT. | Revisione; Negare; Disabile | 1.0.0 |
| I cluster Azure HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi dei cluster Azure HDInsight. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografia doppia per i dati inattivi. | Revisione; Negare; Disabile | 1.0.1 |
| Azure i bot di integrità devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei healthbot. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma cmk sono in genere necessari per soddisfare gli standard di conformità alle normative. La chiave gestita dal cliente consente di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente per la crittografia dei dati nel servizio dell'agente sanitario | Revisione; Disabile | 1.0.0 |
| Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Creare un'area di lavoro con Azure Resource Manager modello. | Revisione; Negare; Disabile | 1.1.0 |
| Azure Machine Learning le aree di lavoro devono essere crittografate con l'uso di una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Creare un'area di lavoro con Azure Resource Manager modello. | AuditIfNotExists; Disabile | 1.0.0 |
| Monitoraggio di Azure I cluster di log devono essere crittografati con la chiave gestita dal cliente | Creare Monitoraggio di Azure cluster di log con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere Configurare le chiavi gestite dal cliente in Monitoraggio di Azure. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Analisi di flusso di Azure i processi devono usare chiavi gestite dal cliente per crittografare i dati | Usare chiavi gestite dal cliente quando si vogliono archiviare in modo sicuro tutti i metadati e gli asset di dati privati dei processi di Analisi di flusso nell'account storage. In questo modo è possibile controllare in modo totale il modo in cui i dati di Analisi di flusso vengono crittografati. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Azure Synapse le aree di lavoro devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia aggiungendo un secondo livello di crittografia sulla crittografia predefinita con chiavi gestite dal servizio. | Revisione; Negare; Disabile | 1.0.0 |
| Azure le data factory devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Encrypt Azure Data Factory con chiave gestita dal cliente. | Revisione; Negare; Disabile | 1.0.1 |
| Azure risorsa di test di carico deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi per la risorsa Test di carico di Azure. Per impostazione predefinita, la crittografia viene eseguita usando chiavi gestite dal servizio, le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente per Test di carico di Azure con Azure Key Vault. | Revisione; Negare; Disabile | 1.0.0 |
| servizio Bot deve essere crittografato con una chiave gestita dal cliente | Azure servizio Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate le chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo access alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BRING Your Own Key (BYOK). Altre informazioni sulla crittografia Azure servizio Bot: crittografia Servizio di Azure AI Bot per i dati inattivi. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| I dischi dati e i sistemi operativiboth nei cluster servizio Azure Kubernetes devono essere crittografati tramite chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Revisione; Negare; Disabile | 1.0.1 |
| I registri Container devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Customer-Managed Chiavi per Registro Azure Container. | Revisione; Negare; Disabile | 1.1.2 |
| La crittografia della chiave gestitacustomer deve essere usata come parte della crittografia cmk per istanze gestite di SQL Arc. | Come parte della crittografia della chiave gestita dal cliente, è necessario usare la crittografia della chiave gestita dal cliente. Per altre informazioni, vedere Crittografa un database con Transparent Data Encryption manualmente in Istanza gestita di SQL abilitato da Azure Arc. | Revisione; Disabile | 1.0.0 |
| DICOM Service deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati archiviati in Servizi per i dati sanitari di Azure servizio DICOM quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | Revisione; Disabile | 1.0.0 |
| ElasticSan Volume Group deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del volumeGroup. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dalla piattaforma, ma i cmk sono comunemente necessari per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. | Revisione; Disabile | 1.0.0 |
| gli spazi dei nomi dell'hub Event devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare access alle chiavi che l'hub eventi userà per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Revisione; Disabile | 1.0.0 |
| FHIR Service deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in Servizi per i dati sanitari di Azure servizio FHIR quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia aggiungendo un secondo livello di crittografia rispetto a quello predefinito eseguito con chiavi gestite dal servizio. | Revisione; Disabile | 1.0.0 |
| Fluid Relay deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del server di inoltro fluido. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma i cmk sono comunemente necessari per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. Altre informazioni sono disponibili in Chiavi gestite dacustomer per la crittografia Azure Fluid Relay. | Revisione; Disabile | 1.0.0 |
| gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Disabile; Negare | 2.0.0 |
| L'ambiente del servizio di integrazione di App per le app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Negare; Disabile | 1.0.0 |
| Managed disks deve essere crittografato con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per altre informazioni, vedere Crittografazione lato server di dischi gestiti Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Managed disks deve usare un set specifico di set di crittografia dischi per la crittografia della chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con managed disks consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per altre informazioni, vedere Crittografazione lato server di dischi gestiti Azure. | Revisione; Negare; Disabile | 2.0.0 |
| i server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists; Disabile | 1.0.4 |
| OS e i dischi dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto del managed disks. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere Crittografazione lato server di dischi gestiti Azure. | Revisione; Negare; Disabile | 3.0.0 |
| I server flessibili PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei server flessibili PostgreSQL inattivi. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Revisione; Negare; Disabile | 1.1.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists; Disabile | 1.0.4 |
| Queue Storage deve usare la chiave gestita dal cliente per la crittografia | Proteggere la coda storage con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Negare; Disabile | 1.0.0 |
| le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Revisione; Negare; Disabile | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Revisione; Negare; Disabile | 2.0.1 |
| gli spazi dei nomi bus di servizio Premium devono usare una chiave gestita dal cliente per la crittografia | bus di servizio di Azure supporta la crittografia dei dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che bus di servizio useranno per crittografare i dati nello spazio dei nomi. Si noti che bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Revisione; Disabile | 1.0.0 |
| Storage gli ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account storage. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sugli ambiti di crittografia dell'account storage, vedere Ambiti di crittografia per Blob storage. | Revisione; Negare; Disabile | 1.0.0 |
| Storage gli ambiti di crittografia dell'account devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi dei storage ambiti di crittografia dell'account per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Storage devono usare la chiave gestita dal cliente per la crittografia | Proteggere il BLOB e il file storage account con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Disabile | 1.0.3 |
| Table Storage deve usare la chiave gestita dal cliente per la crittografia | Proteggere la tabella storage con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare access alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Revisione; Negare; Disabile | 1.0.0 |
| [Deprecato]: il gruppo SIM deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Questo criterio è deprecato perché il Microsoft. Il provider di risorse MobileNetwork è stato rimosso senza sostituzione. È consigliabile rimuovere tutte le assegnazioni di questo criterio e tutti i riferimenti ad esso dalle iniziative. Altre informazioni sulla deprecazione della definizione dei criteri sono disponibili in aka.ms/policydefdeprecation. | Revisione; Negare; Disabile | 1.1.0-deprecato |
| [Anteprima]: i sistemi HCI Azure Stack devono avere volumi crittografati | Usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi HCI Azure Stack. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
DP-6: Usare un processo di gestione delle chiavi sicuro
Per altre informazioni, vedere Protezione dei dati: DP-6: Usare un processo di gestione delle chiavi sicuro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I valori denominati del segreto di gestione API devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio API Management. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti da Azure Key Vault. Azure Key Vault supporta criteri granulari di gestione degli accessi e rotazione dei segreti. | Revisione; Disabile; Negare | 1.0.2 |
| Azure Cosmos DB gli account non devono superare il numero massimo di giorni consentiti dall'ultima rigenerazione della chiave dell'account. | Rigenerare le chiavi nel tempo specificato per mantenere i dati più protetti. | Revisione; Disabile | 1.0.0 |
| le chiavi Key Vault devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Revisione; Negare; Disabile | 1.0.2 |
| Key Vault i segreti devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Revisione; Negare; Disabile | 1.0.2 |
| Keys deve disporre di criteri di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Revisione; Disabile | 1.0.0 |
| Keys deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo in giorni in cui una chiave può essere valida entro il key vault. | Revisione; Negare; Disabile | 1.0.1 |
| Keys non deve essere attivo per più tempo del numero specificato di giorni | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets deve avere più del numero specificato di giorni prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo in giorni in cui un segreto può essere valido entro il key vault. | Revisione; Negare; Disabile | 1.0.1 |
| Secrets non deve essere attivo per più tempo del numero specificato di giorni | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Revisione; Negare; Disabile | 1.0.1 |
| Storage le chiavi dell'account non devono essere scadute | Assicurarsi che l'utente storage le chiavi dell'account non siano scadute quando vengono impostati i criteri di scadenza della chiave, per migliorare la sicurezza delle chiavi dell'account eseguendo un'azione quando le chiavi sono scadute. | Revisione; Negare; Disabile | 3.0.0 |
DP-7: Usare un processo di gestione dei certificati sicuro
Per altre informazioni, vedere Protezione dei dati: DP-7: Usare un processo di gestione dei certificati sicuro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Certificates deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo per cui un certificato può essere valido all'interno del key vault. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.2.1 |
| Certificates deve avere il periodo di validità massimo specificato | Gestire i requisiti di conformità dell'organizzazione specificando la quantità massima di tempo per cui un certificato può essere valido all'interno del key vault. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.2.1 |
| Certificates non deve scadere entro il numero specificato di giorni | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | revisione; Revisione; negare; Negare; disabile; Disabile | 2.1.1 |
DP-8: Garantire la sicurezza della chiave e del repository di certificati
Per altre informazioni, vedere Protezione dei dati: DP-8: Garantire la sicurezza del repository di chiavi e certificati.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| Azure Key Vault deve essere abilitato il firewall o l'accesso alla rete pubblica è disabilitato | Abilitare il firewall key vault in modo che l'key vault non sia accessibile per impostazione predefinita a tutti gli INDIRIZZI IP pubblici o disabilitare i access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare access a tali reti. Per altre informazioni, vedere: Security for Azure Key Vault and Integrate Key Vault with collegamento privato di Azure | Revisione; Negare; Disabile | 3.3.0 |
| Azure Gli insiemi di credenziali delle chiavi devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a key vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Integrate Key Vault con collegamento privato di Azure. | Revisione; Negare; Disabile | 1.2.1 |
| Gli insiemi di credenziali Key devono avere la protezione dell'eliminazione abilitata | L'eliminazione dannosa di un key vault può causare una perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione o Microsoft sarà in grado di eliminare gli insiemi di credenziali delle chiavi durante il periodo di conservazione dell'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Revisione; Negare; Disabile | 2.1.0 |
| Gli insiemi di credenziali Key devono avere l'eliminazione temporanea abilitata | L'eliminazione di un key vault senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nel key vault. L'eliminazione accidentale di un key vault può causare una perdita di dati permanente. L'eliminazione temporanea consente di recuperare un key vault eliminato accidentalmente per un periodo di conservazione configurabile. | Revisione; Negare; Disabile | 3.1.0 |
| È necessario abilitare i log di Resource in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
DS-6: Proteggere il ciclo di vita del carico di lavoro
Per altre informazioni, vedere DevOps Security: DS-6: Proteggere il ciclo di vita del carico di lavoro.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente il surface di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists; Disabile | 1.0.1 |
ES-1: Usare il rilevamento e la risposta degli endpoint (EDR)
Per altre informazioni, vedere Endpoint Security: ES-1: Use Endpoint Detection and Response (EDR).
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
ES-2: Usare software antimalware moderno
Per altre informazioni, vedere Endpoint Security: ES-2: Usare software antimalware moderno.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
IM-1: Centralizzare l'identità e l'autenticazione garantendo al tempo stesso l'isolamento
Per altre informazioni, vedere Identity Management: IM-1: Centralizzare l'identità e l'autenticazione garantendo al tempo stesso l'isolamento.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.0.1 |
| È necessario eseguire il provisioning dell'amministratore di Azure Active Directory per i server SQL | Controllare il provisioning di un amministratore di Azure Active Directory per SQL Server per abilitare l'autenticazione di Azure AD. Azure'autenticazione di ACTIVE Directory consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono avere metodi di autenticazione locali disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza garantendo che i servizi app richiedano esclusivamente Microsoft Entra identità per l'autenticazione. Per altre informazioni, vedere: | AuditIfNotExists; Disabile | 1.0.3 |
| App Service le app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere: | AuditIfNotExists; Disabile | 1.0.3 |
| i componenti di Application Insights devono bloccare i componenti di inserimento non basati su Azure Active Directory | L'applicazione dell'inserimento dei log per richiedere l'autenticazione Azure Active Directory impedisce i log non autenticati da un utente malintenzionato che potrebbe causare uno stato errato, falsi avvisi e log non corretti archiviati nel sistema. | Negare; Revisione; Disabile | 1.0.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare la chiave access (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alla chiave e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere Autenticazione in Foundry Tools | Revisione; Negare; Disabile | 1.1.0 |
| I cluster servizio Azure Kubernetes devono abilitare l'integrazione Microsoft Entra ID | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere: |
Revisione; Disabile | 1.0.2 |
| Azure Machine Learning I calcoli devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Machine Learning le risorse di calcolo richiedano identità Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere: Criteri di Azure Controlli di conformità alle normative per Azure Machine Learning. | Revisione; Negare; Disabile | 2.1.0 |
| database SQL di Azure deve essere abilitata l'autenticazione solo Microsoft Entra | Richiedere Azure SQL server logici per usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Crea server with Microsoft Entra-Only Authentication Enabled. | Revisione; Negare; Disabile | 1.0.0 |
| database SQL di Azure deve essere abilitata l'autenticazione solo Microsoft Entra durante la creazione | Richiedere Azure SQL server logici da creare con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Crea server with Microsoft Entra-Only Authentication Enabled. | Revisione; Negare; Disabile | 1.2.0 |
| Istanza gestita di SQL di Azure deve essere abilitata l'autenticazione solo Microsoft Entra | Richiedere Istanza gestita di SQL di Azure di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione di istanze gestite Azure SQL con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Crea server with Microsoft Entra-Only Authentication Enabled. | Revisione; Negare; Disabile | 1.0.0 |
| Azure SQL Le istanze gestite devono avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere la creazione di Istanza gestita di SQL di Azure con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Crea server with Microsoft Entra-Only Authentication Enabled. | Revisione; Negare; Disabile | 1.2.0 |
| Configurare le risorse dei servizi di intelligenza artificiale Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare la chiave access (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alla chiave e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere Autenticazione in Foundry Tools | DeployIfNotExists; Disabile | 1.0.0 |
| I registri Container devono avere un account amministratore locale disabilitato. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità Azure Active Directory per l'autenticazione. Per altre informazioni, vedere: Registro Azure Container Opzioni di autenticazione illustrate. | Revisione; Negare; Disabile | 1.0.1 |
| Gli account di database dbCosmos devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente Azure Active Directory identità per l'autenticazione. Per altre informazioni, vedere: Connect to Azure Cosmos DB for NoSQL using role-based access control and Microsoft Entra ID( | Revisione; Negare; Disabile | 1.1.0 |
| I cluster Fabric Service devono usare solo Azure Active Directory per l'autenticazione client | Controllare l'utilizzo dell'autenticazione client solo tramite Azure Active Directory nel servizio Fabric | Revisione; Negare; Disabile | 1.1.0 |
| gli account |
Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Revisione; Negare; Disabile | 2.0.0 |
| gli account Storage devono impedire access chiave condivisa (esclusi gli account storage creati da Databricks) | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Revisione; Negare; Disabile | 1.0.0 |
| Le aree di lavoro Synapse devono avere l'autenticazione solo Microsoft Entra abilitata | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Azure Synapse Analytics. | Revisione; Negare; Disabile | 1.0.0 |
| Le aree di lavoro Synapse devono usare solo identità Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere: Azure Synapse Analytics. | Revisione; Negare; Disabile | 1.2.0 |
| I gateway VPN devono usare solo l'autenticazione Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo identità Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere Configurare il gateway VPN da punto a sito per l'autenticazione Microsoft Entra ID | Revisione; Negare; Disabile | 1.0.0 |
| [Anteprima]: Azure server flessibile PostgreSQL deve avere Microsoft Entra abilitata solo l'autenticazione | La disabilitazione dei metodi di autenticazione locale e la possibilità di Microsoft Entra l'autenticazione migliora la sicurezza assicurando che Azure server flessibile PostgreSQL sia accessibile esclusivamente da identità Microsoft Entra. | Revisione; Disabile | 1.0.0-preview |
IM-2: Proteggere i sistemi di identità e autenticazione
Per altre informazioni, vedere Identity Management: IM-2: Proteggere i sistemi di identità e autenticazione.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Users deve eseguire l'autenticazione a più fattori per creare o aggiornare le risorse | Questa definizione di criteri blocca le operazioni di creazione e aggiornamento delle risorse quando il chiamante non viene autenticato tramite MFA. Per altre informazioni, vedere Plan per l'autenticazione a più fattori (MFA)Microsoft Entra obbligatoria . | Revisione; Negare; Disabile | 1.0.1 |
IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico
Per altre informazioni, vedere Identity Management: IM-3: Gestire le identità delle applicazioni in modo sicuro e automatico.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service gli slot dell'app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 3.0.0 |
| Account diautomation deve avere un'identità gestita | Usare identità gestite come metodo consigliato per l'autenticazione con le risorse Azure dai runbook. L'identità gestita per l'autenticazione è più sicura ed elimina il sovraccarico di gestione associato all'uso dell'account RunAs nel codice del runbook. | Revisione; Disabile | 1.0.0 |
| Azure Data Factory i servizi collegati devono usare l'autenticazione dell'identità gestita assegnata dal sistema quando è supportata | L'uso dell'identità gestita assegnata dal sistema durante la comunicazione con gli archivi dati tramite servizi collegati evita l'uso di credenziali meno protette, ad esempio password o stringhe di connessione. | Revisione; Negare; Disabile | 2.1.0 |
| Azure Machine Learning le aree di lavoro devono usare l'identità gestita assegnata dall'utente | Accesso manange all'area di lavoro di Machine Learning Azure e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata da Azure'area di lavoro ml per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa Azure e mantenere il ciclo di vita di tale identità. Per altre informazioni, vedere Configura l'autenticazione tra Azure Machine Learning e altri servizi. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Cognitive Services devono usare un'identità gestita | L'assegnazione di un'identità gestita all'account di Servizi cognitivi consente di garantire l'autenticazione sicura. Questa identità viene usata da questo account del servizio cognitivo per comunicare con altri servizi di Azure, ad esempio Azure Key Vault, in modo sicuro senza dover gestire le credenziali. | Revisione; Negare; Disabile | 1.0.0 |
| Risorsa del servizio di comunicazione deve usare un'identità gestita | L'assegnazione di un'identità gestita alla risorsa del servizio di comunicazione consente di garantire l'autenticazione sicura. Questa identità viene usata da questa risorsa del servizio di comunicazione per comunicare con altri servizi Azure, ad esempio Archiviazione di Azure, in modo sicuro senza dover gestire le credenziali. | Revisione; Negare; Disabile | 1.0.0 |
| Le app Function devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists; Disabile | 3.1.0 |
| Identità gestita deve essere abilitata per Le app contenitore | L'applicazione dell'identità gestita garantisce che le app contenitore possano eseguire l'autenticazione sicura in qualsiasi risorsa che supporti l'autenticazione di Azure AD | Revisione; Negare; Disabile | 1.0.1 |
| Processo di Analisi di flusso deve usare l'identità gestita per autenticare gli endpoint | Assicurarsi che i processi di Analisi di flusso si connettano solo agli endpoint usando l'autenticazione dell'identità gestita. | Negare; Disabile; Revisione | 1.0.0 |
| L'estensione configurazione guest di Virtual machines deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure macchine virtuali nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni, vedere Understand Azure Machine Configuration | AuditIfNotExists; Disabile | 1.0.1 |
| [Anteprima]: è necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Revisione; Disabile | 1.0.0-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita da Azure Kubernetes devono essere provenienti da origini attendibili | Questo criterio limita la federeation con Azure cluster Kubernetes solo a cluster provenienti da tenant approvati, aree approvate e un elenco specifico di eccezioni di cluster aggiuntivi. | Revisione; Disabile; Negare | 1.0.0-preview |
| [Anteprima]: le credenziali federate dell'identità gestita da GitHub devono essere di proprietari di repository attendibili | Questo criterio limita la federazione con GitHub repository solo ai proprietari dei repository approvati. | Revisione; Disabile; Negare | 1.0.1-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita devono essere provenienti dai tipi di autorità di certificazione consentiti | Questo criterio limita se le identità gestite possono usare credenziali federate, quali tipi di autorità di certificazione comuni sono consentiti e fornisce un elenco di eccezioni emittente consentite. | Revisione; Disabile; Negare | 1.0.0-preview |
IM-4: Autenticare server e servizi
Per altre informazioni, vedere Identity Management: IM-4: Authenticate server and services .For more information, see Identity Management: IM-4: Authenticate server and services.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management le chiamate ai back-end API devono essere autenticate | Le chiamate da API Management ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end del servizio Fabric. | Revisione; Disabile; Negare | 1.0.1 |
| API Management le chiamate ai back-end API non devono ignorare l'identificazione personale o la convalida del nome del certificato | Per migliorare la sicurezza dell'API, API Management deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Revisione; Disabile; Negare | 1.0.2 |
| Gli endpoint API in Gestione API di Azure devono essere autenticati | Gli endpoint API pubblicati all'interno di Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di access dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: Recommendations per attenuare le minacce principali della sicurezza dell'API OWASP 10 usando API Management | AuditIfNotExists; Disabile | 1.0.1 |
| database SQL di Azure deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS sulla versione 1.2 o successiva migliora la sicurezza assicurando che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Revisione; Disabile; Negare | 2.0.0 |
IM-6: Usare controlli di autenticazione avanzata
Per altre informazioni, vedere Identity Management: IM-6: Usare controlli di autenticazione avanzata.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Authentication nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: Detailed steps: Create and manage SSH keys for authentication to a Linux VM in Azure. | AuditIfNotExists; Disabile | 3.2.0 |
IM-8: limitare l'esposizione di credenziali e segreti
Per altre informazioni, vedere Identity Management: IM-8: Limitare l'esposizione di credenziali e segreti.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I valori denominati del segreto di gestione API devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio API Management. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti da Azure Key Vault. Azure Key Vault supporta criteri granulari di gestione degli accessi e rotazione dei segreti. | Revisione; Disabile; Negare | 1.0.2 |
| Machines dovrebbe avere risultati segreti risolti | Controlla virtual machines per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nel virtual machines. | AuditIfNotExists; Disabile | 1.0.2 |
IR-2: Preparazione - Configurare la notifica dell'evento imprevisto
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-2: Preparazione - notifica degli eventi imprevisti di configurazione.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists; Disabile | 1.2.0 |
| Email notifica al proprietario della sottoscrizione per gli avvisi con gravità elevata deve essere abilitata | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists; Disabile | 2.1.0 |
| Subscriptions deve avere un indirizzo di posta elettronica di contatto per i problemi di sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists; Disabile | 1.0.1 |
IR-3: Rilevamento e analisi - Creare eventi imprevisti basati su avvisi di alta qualità
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-3: Rilevamento e analisi- Creare eventi imprevisti in base ad avvisi di alta qualità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e in SQL Server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: Migrate per Defender per SQL nei computer che usano AMA | AuditIfNotExists; Disabile | 1.0.0 |
IR-4: Rilevamento e analisi - Analizzare un evento imprevisto
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-4: Rilevamento e analisi- analizzare un evento imprevisto.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| è necessario abilitare Network Watcher | Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, a e da Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario avere un gruppo di risorse network watcher da creare in ogni area in cui è presente un virtual network. Un avviso viene abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists; Disabile | 3.0.0 |
IR-5: Rilevamento e analisi - Assegnare la priorità agli eventi imprevisti
Per altre informazioni, vedere Risposta agli eventi imprevisti: IR-5: Rilevamento e analisi - definizione delle priorità degli eventi imprevisti.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e in SQL Server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: Migrate per Defender per SQL nei computer che usano AMA | AuditIfNotExists; Disabile | 1.0.0 |
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-1: Abilitare le funzionalità di rilevamento delle minacce.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| I cluster servizio Azure Kubernetes devono avere Defender profilo abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in Gestisci le raccomandazioni MCSB in Defender per il cloud | Revisione; Disabile | 2.0.1 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e in SQL Server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: Migrate per Defender per SQL nei computer che usano AMA | AuditIfNotExists; Disabile | 1.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
| [Anteprima]: Azure Arc cluster Kubernetes abilitati devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes con abilitazione di Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al Azure Defender per il back-end Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in ScoreSecure in Defender per il cloud. | AuditIfNotExists; Disabile | 6.0.0-preview |
LT-2: Abilitare il rilevamento delle minacce per la gestione di identità e access
Per altre informazioni, vedere Logging and Threat Detection: LT-2: Enable threat detection for identity and access management.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | AuditIfNotExists; Disabile | 1.0.3 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere Microsoft Defender per Resource Manager - Vantaggi e funzionalità . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud . | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | AuditIfNotExists; Disabile | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | AuditIfNotExists; Disabile | 1.0.2 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source, vedere Panoramica di Defender per Open-Source database relazionali. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: Pricing - Microsoft Defender per il cloud | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | AuditIfNotExists; Disabile | 1.0.3 |
| I cluster servizio Azure Kubernetes devono avere Defender profilo abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in Gestisci le raccomandazioni MCSB in Defender per il cloud | Revisione; Disabile | 2.0.1 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists; Disabile | 1.0.0 |
| Microsoft Defender per lo stato SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e in SQL Server per garantire la protezione attiva. | Revisione; Disabile | 1.1.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account storage) per il controllo sulla copertura e sui costi. | AuditIfNotExists; Disabile | 1.0.0 |
| SQL server il provisioning automatico di destinazione deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: Migrate per Defender per SQL nei computer che usano AMA | AuditIfNotExists; Disabile | 1.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | AuditIfNotExists; Disabile | 2.0.0 |
| [Anteprima]: Azure Arc cluster Kubernetes abilitati devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes con abilitazione di Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al Azure Defender per il back-end Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in ScoreSecure in Defender per il cloud. | AuditIfNotExists; Disabile | 6.0.0-preview |
LT-3: Abilitare la registrazione per l'analisi della sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-3: Abilitare la registrazione per l'analisi della sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists; Disabile | 2.0.1 |
| Auditing su SQL server deve essere abilitato | Il controllo sul SQL Server deve essere abilitato per tenere traccia delle attività del database in tutti i database nel server e salvarle in un log di controllo. | AuditIfNotExists; Disabile | 2.0.0 |
| Frontdoor di Azure devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Frontdoor di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists; Disabile | 1.0.0 |
| È necessario abilitare i log Diagnostic nelle risorse di Servizi di Azure AI | Abilitare i log per le risorse Servizi di Azure AI. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists; Disabile | 1.0.0 |
| I log di Risorsa in Azure Data Lake Store devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource nelle aree di lavoro Azure Databricks | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists; Disabile | 1.0.1 |
| È necessario abilitare i log di Resource in servizio Azure Kubernetes | i log delle risorse di servizio Azure Kubernetes consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists; Disabile | 1.0.0 |
| È necessario abilitare i log di Resource nelle aree di lavoro Azure Machine Learning | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists; Disabile | 1.0.1 |
| È necessario abilitare i log Resource in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource in Data Lake Analytics | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource nell'hub eventi | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Resource in hub IoT | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 3.1.0 |
| È necessario abilitare i log di Resource in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di Risorse in App per la logica | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.1.0 |
| È necessario abilitare i log di Resource nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
| È necessario abilitare i log di < bus di servizio>Resource | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists; Disabile | 5.0.0 |
LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I log di Flow devono essere configurati per ogni gruppo di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Revisione; Disabile | 1.1.0 |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in Linux virtual machines | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | AuditIfNotExists; Disabile | 1.0.2-preview |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in macchine virtuali Windows | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | AuditIfNotExists; Disabile | 1.0.2-preview |
LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza
Per altre informazioni, vedere Registrazione e rilevamento delle minacce: LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Saved-query in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione a Log Analytics'area di lavoro per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere Chiavità gestita daCustomer per le query salvate in Monitoraggio di Azure. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| [Anteprima]: Log Analytics'estensione deve essere installata nei computer Linux Azure Arc | Questo criterio controlla i computer Linux Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists; Disabile | 1.0.1-preview |
| [Anteprima]: Log Analytics'estensione deve essere installata nei computer Windows Azure Arc | Questo criterio controlla Windows Azure Arc computer se l'estensione Log Analytics non è installata. | AuditIfNotExists; Disabile | 1.0.1-preview |
LT-6: Configurare la conservazione dei log storage
Per altre informazioni, vedere Logging and Threat Detection: LT-6: Configure log storage retention.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| I server SQL con controllo per storage destinazione dell'account devono essere configurati con conservazione di 90 giorni o superiore | Ai fini dell'indagine sugli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo del SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists; Disabile | 3.0.0 |
NS-1: Stabilire limiti di segmentazione di rete
Per altre informazioni, vedere Sicurezza di rete: NS-1: Stabilire limiti di segmentazione di rete.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale | Centro sicurezza di Azure ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire access da intervalli 'Any' o 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists; Disabile | 3.0.0 |
| Internet-facing virtual machines deve essere protetto con i gruppi di sicurezza di rete | Proteggere i virtual machines da potenziali minacce limitando access a tali access con i gruppi di sicurezza di rete. Altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete sono disponibili in Azure panoramica dei gruppi di sicurezza di rete | AuditIfNotExists; Disabile | 3.0.0 |
| I virtual machines con connessione Internet non devono essere protetti con gruppi di sicurezza di rete | Proteggere i virtual machines non con connessione Internet da potenziali minacce limitando access con i gruppi di sicurezza di rete. Altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete sono disponibili in Azure panoramica dei gruppi di sicurezza di rete | AuditIfNotExists; Disabile | 3.0.0 |
| Subnets deve essere associato a un gruppo di sicurezza di rete | Proteggere la subnet da potenziali minacce limitando access a tale subnet con un gruppo di sicurezza di rete.Protect your subnet from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete contengono un elenco di regole elenco di Controllo di accesso che consentono o negano il traffico di rete verso la subnet. | AuditIfNotExists; Disabile | 3.0.0 |
NS-2: Proteggere i servizi nativi del cloud con controlli di rete
Per altre informazioni, vedere Sicurezza di rete: NS-2: Proteggere i servizi nativi del cloud con i controlli di rete.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management i servizi devono usare un virtual network | Rete virtuale di Azure distribuzione offre sicurezza avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono di access ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway API possono essere configurati per essere accessibili da Internet o solo all'interno del virtual network. | Revisione; Negare; Disabile | 1.0.2 |
| API Management deve disabilitare i access di rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi di API Management, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione diretta access, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists; Disabile | 1.0.1 |
| App Configuration disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Usare gli endpoint privati per Configurazione app di Azure. | Revisione; Negare; Disabile | 1.0.0 |
| App Configuration deve usare uno SKU che supporta private link | Quando si usa uno SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle istanze di app configuration anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati per Configurazione app di Azure. | Revisione; Negare; Disabile | 1.0.0 |
| App Configuration deve usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle istanze di app configuration anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati per Configurazione app di Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| ambiente del servizio app le app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un ambiente del servizio app non siano accessibili tramite Internet pubblico, è necessario distribuire ambiente del servizio app con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, è necessario distribuire il ambiente del servizio app con un servizio di bilanciamento del carico interno. | Revisione; Negare; Disabile | 3.0.0 |
| La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il App Service non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un App Service. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.0.0 | |
| App Service le app devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che il App Service non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un App Service. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| App Service le app devono usare uno SKU che supporta private link | Con gli SKU supportati, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | Revisione; Negare; Disabile | 4.3.0 |
| App Service le app devono usare private link | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a App Service, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | AuditIfNotExists; Disabile | 1.0.1 |
| i componenti di Application Insights devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza di Application Insights bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log di questo componente. Per altre informazioni, vedere Usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Intervalli IP non autorizzati devono essere definiti nei servizi Kubernetes | Limitare access all'API di gestione dei servizi Kubernetes concedendo all'API access solo agli indirizzi IP in intervalli specifici. È consigliabile limitare access agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti consentite possano access il cluster. | Revisione; Disabile | 2.0.1 |
| gli account Automation devono disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere: Use collegamento privato di Azure per connettere in modo sicuro le reti a Automazione di Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure AI Search servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Azure AI Search, collegamento privato di Azure consente di connettere la rete virtuale ai servizi Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla Search service, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Creare un endpoint privato per una connessione sicura. | Revisione; Negare; Disabile | 1.0.1 |
| Azure AI Search i servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio di Azure AI Search non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del Search service. Per altre informazioni, vedere: Creare un endpoint privato per una connessione sicura. | Revisione; Negare; Disabile | 1.0.1 |
| Azure le risorse dei servizi di intelligenza artificiale devono limitare l'accesso alla rete | Limitando le access di rete, è possibile assicurarsi che solo le reti consentite possano access il servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere allo strumento Microsoft Foundry. | Revisione; Negare; Disabile | 3.3.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono usare collegamento privato di Azure | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone Azure. Per altre informazioni sui collegamenti privati, vedere: Che è collegamento privato di Azure? | Revisione; Disabile | 1.0.0 |
| Azure API per FHIR deve usare il collegamento privato | Azure'API per FHIR deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. Per altre informazioni, vedere: Configurare collegamento privato per Servizi per i dati sanitari di Azure. | Revisione; Disabile | 1.0.0 |
| Azure Arc collegamento privato Gli ambiti devono essere configurati con un endpoint privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli ambiti di Azure Arc collegamento privato, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use collegamento privato di Azure to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Disabile | 1.0.0 |
| Azure Arc collegamento privato Gli ambiti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che le risorse di Azure Arc non possano connettersi tramite Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse Azure Arc. Per altre informazioni, vedere: Use collegamento privato di Azure to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| I cluster kubernetes abilitati per Azure Arc devono essere configurati con un ambito Azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping Azure Arc server abilitati a un ambito Azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use collegamento privato di Azure to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| I server abilitati per Azure Arc devono essere configurati con un ambito Azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping Azure Arc server abilitati a un ambito Azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Use collegamento privato di Azure to Connect Servers to Azure Arc by Using a Private Endpoint. | Revisione; Negare; Disabile | 1.0.0 |
| attestazione di Azure provider devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza del servizio attestazione di Azure, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in aka.ms/azureattestation. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| cache di Azure per Redis Enterprise deve usare il collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis Enterprise, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Che è cache di Azure per Redis con collegamento privato di Azure?. | AuditIfNotExists; Disabile | 1.0.0 |
| cache di Azure per Redis deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che il cache di Azure per Redis non sia esposto su Internet pubblico. È possibile limitare l'esposizione dei cache di Azure per Redis creando invece endpoint privati. Per altre informazioni, vedere: Che è cache di Azure per Redis con collegamento privato di Azure?. | Revisione; Negare; Disabile | 1.0.0 |
| cache di Azure per Redis deve usare il collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Che è cache di Azure per Redis con collegamento privato di Azure?. | AuditIfNotExists; Disabile | 1.0.0 |
| gli account Azure Cosmos DB devono avere regole del firewall | Le regole del firewall devono essere definite sugli account Azure Cosmos DB per impedire il traffico da origini non autorizzate. Gli account con almeno una regola IP definita con il filtro virtual network abilitato vengono considerati conformi. Anche gli account che disabilitano i access pubblici vengono considerati conformi. | Revisione; Negare; Disabile | 2.1.0 |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere: Blocking public network access during Azure Cosmos DB account creation. | Revisione; Negare; Disabile | 1.0.0 |
| Esplora dati di Azure cluster deve usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati al cluster Esplora dati di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: EndpointPrivate per Esplora dati di Azure. | Revisione; Disabile | 1.0.0 |
| Esplora dati di Azure deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere Usare endpoint privati per le app. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Data Factory deve usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: collegamento privato di Azure per Azure Data Factory. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure Databricks I cluster devono disabilitare l'indirizzo IP pubblico | La disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti sulla rete Internet pubblica. Per altre informazioni, vedere: Enable secure cluster connectivity. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Databricks Le aree di lavoro devono trovarsi in una rete virtuale | Azure reti virtuali offrono sicurezza e isolamento avanzati per le aree di lavoro Azure Databricks, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere: Deploy Azure Databricks nella rete virtuale Azure (VNet injection). | Revisione; Negare; Disabile | 1.0.2 |
| Azure Databricks Le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: collegamento privato di Azure concetti. | Revisione; Negare; Disabile | 1.0.1 |
| Le aree di lavoro Azure Databricks devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro Azure Databricks, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Disabile | 1.0.2 |
| Azure Databricks le aree di lavoro devono essere SKU Premium che supporta funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia | Consentire solo l'area di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere: Configurare la connettività privata back-end a Azure Databricks. | Revisione; Negare; Disabile | 1.0.1 |
| Azure Aggiornamento dispositivi per gli account hub IoT deve usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Aggiornamento del dispositivo per gli account hub IoT, i rischi di perdita dei dati vengono ridotti. | AuditIfNotExists; Disabile | 1.0.0 |
| Griglia di eventi di Azure domini devono disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 |
| I domini Griglia di eventi di Azure devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.2 |
| Griglia di eventi di Azure broker MQTT deve usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.0 |
| Griglia di eventi di Azure gestore degli argomenti dello spazio dei nomi deve usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.0 |
| gli spazi dei nomi Griglia di eventi di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 |
| Griglia di eventi di Azure argomenti devono disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Negare; Disabile | 1.0.0 |
| Griglia di eventi di Azure gli argomenti devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere Configurare endpoint privati per argomenti o domini. | Revisione; Disabile | 1.0.2 |
| Sincronizzazione file di Azure deve usare un collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Storage consente di gestire la risorsa del servizio di sincronizzazione Storage dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists; Disabile | 1.0.0 |
| i profili Frontdoor di Azure devono usare il livello Premium che supporta le regole WAF gestite e il collegamento privato | Frontdoor di Azure Premium supporta le regole WAF gestite Azure e il collegamento privato alle origini Azure supportate. | Revisione; Negare; Disabile | 1.0.0 |
| Azure HDInsight deve usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai cluster Azure HDInsight, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Enable collegamento privato in un cluster Azure HDInsight. | AuditIfNotExists; Disabile | 1.0.0 |
| Servizi per i dati sanitari di Azure servizio di de-identificazione deve disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. | Revisione; Disabile | 1.0.0 |
| Servizi per i dati sanitari di Azure servizio di de-identificazione deve usare il collegamento privato | Servizi per i dati sanitari di Azure servizio di de-identificazione deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. | Revisione; Disabile | 1.0.0 |
| Servizi per i dati sanitari di Azure'area di lavoro deve usare il collegamento privato | L'area di lavoro di Health Data Services deve avere almeno una connessione endpoint privato approvata. I client in un virtual network possono access risorse che dispongono di connessioni endpoint private tramite collegamenti privati. Per altre informazioni, vedere: Configurare collegamento privato per Servizi per i dati sanitari di Azure. | Revisione; Disabile | 1.0.0 |
| Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere: Integrate Key Vault con collegamento privato di Azure. | Revisione; Negare; Disabile | 1.1.0 |
| Azure Key Vault deve essere abilitato il firewall o l'accesso alla rete pubblica è disabilitato | Abilitare il firewall key vault in modo che l'key vault non sia accessibile per impostazione predefinita a tutti gli INDIRIZZI IP pubblici o disabilitare i access di rete pubblica per il key vault in modo che non sia accessibile tramite Internet pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare access a tali reti. Per altre informazioni, vedere: Security for Azure Key Vault and Integrate Key Vault with collegamento privato di Azure | Revisione; Negare; Disabile | 3.3.0 |
| Azure Gli insiemi di credenziali delle chiavi devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a key vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Integrate Key Vault con collegamento privato di Azure. | Revisione; Negare; Disabile | 1.2.1 |
| Azure Machine Learning Le risorse di calcolo devono trovarsi in una rete virtuale | Azure reti virtuali offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con un virtual network, non è indirizzabile pubblicamente e può essere accessibile solo da virtual machines e applicazioni all'interno del virtual network. | Revisione; Disabile | 1.0.1 |
| Azure Machine Learning Le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: Configurare un endpoint privato per un'area di lavoro Azure Machine Learning. | Revisione; Negare; Disabile | 2.0.1 |
| Azure Machine Learning e Ai Studio devono usare la modalità di rete virtuale gestita approvata solo in uscita | L'isolamento della rete virtuale gestita semplifica e automatizza la configurazione dell'isolamento della rete con una rete virtuale gestita a livello di area di lavoro predefinita Azure Machine Learning. La rete virtuale gestita protegge le risorse di Azure Machine Learning gestite, ad esempio istanze di calcolo, cluster di calcolo, calcolo serverless ed endpoint online gestiti. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Machine Learning le aree di lavoro devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Configurare un endpoint privato per un'area di lavoro Azure Machine Learning. | Revisione; Disabile | 1.0.0 |
| Grafana con gestione Azure le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro Grafana con gestione Azure non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro. | Revisione; Negare; Disabile | 1.0.0 |
| le aree di lavoro Grafana con gestione Azure devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Managed Grafana, è possibile ridurre i rischi di perdita dei dati. | Revisione; Disabile | 1.0.1 |
| Monitoraggio di Azure collegamento privato Ambito deve bloccare l'accesso alle risorse non private link | collegamento privato di Azure consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito Monitoraggio di Azure collegamento privato (AMPLS). collegamento privato le modalità di accesso sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo collegamento privato risorse (per impedire l'esfiltrazione dei dati). Altre informazioni sui collegamenti privati sono disponibili in: collegamento privato di Azure modalità di accesso (solo privato o aperto). | Revisione; Negare; Disabile | 1.0.0 |
| Monitoraggio di Azure collegamento privato Scope deve usare private link | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Monitoraggio di Azure ambito collegamenti privati, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: Usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure. | AuditIfNotExists; Disabile | 1.0.0 |
| Azure gli account Purview devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli account Azure Purview anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Usare gli endpoint privati nel portale di governance di Microsoft Purview classico. | Revisione; Disabile | 1.0.0 |
| Azure SQL Istanze gestite deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Azure SQL istanze gestite migliora la sicurezza assicurando che sia possibile accedervi solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sulle access di rete pubblica, visitare Configurare l'endpoint pubblico. | Revisione; Negare; Disabile | 1.0.0 |
| gli spazi dei nomi bus di servizio di Azure devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Allow access to bus di servizio di Azure namespaces via private endpoints. | AuditIfNotExists; Disabile | 1.0.0 |
| Servizio Azure SignalR deve disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza della risorsa Servizio Azure SignalR, assicurarsi che non sia esposta a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in Configurare la rete access control. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.2.0 |
| Servizio Azure SignalR deve usare uno SKU abilitato per collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione che proteggono le risorse dai rischi di perdita di dati pubblici. I criteri limitano collegamento privato SKU abilitati per Servizio Azure SignalR. Per altre informazioni sulle private link, vedere: Use private endpoints. | Revisione; Negare; Disabile | 1.0.0 |
| Servizio Azure SignalR deve usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in : Usare endpoint privati. | Revisione; Disabile | 1.0.0 |
| Azure Spring Cloud deve usare l'inserimento di rete | Azure istanze di Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Abilitare Azure Spring Cloud per interagire con i sistemi nei data center locali o Azure servizio in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Revisione; Disabile; Negare | 1.2.0 |
| Azure Synapse le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere: Azure Synapse Analytics impostazioni di connettività. | Revisione; Negare; Disabile | 1.0.0 |
| le aree di lavoro Azure Synapse devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Synapse'area di lavoro, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Connettersi all'area di lavoro Azure Synapse usando collegamenti privati. | Revisione; Disabile | 1.0.1 |
| Desktop virtuale Azure i pool di host devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza e mantiene i dati al sicuro assicurando che l'accesso al servizio Desktop virtuale Azure non sia esposto alla rete Internet pubblica. Per altre informazioni, vedere: Impostare collegamento privato con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Desktop virtuale Azure i pool di host devono disabilitare l'accesso alla rete pubblica solo sugli host sessione | La disabilitazione dell'accesso alla rete pubblica per gli host di sessione del pool di host Desktop virtuale Azure, ma consentendo l'accesso pubblico per gli utenti finali migliora la sicurezza limitando l'esposizione a Internet pubblico. Per altre informazioni, vedere: Impostare collegamento privato con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Desktop virtuale Azure servizio deve usare un collegamento privato | L'uso di collegamento privato di Azure con le risorse Desktop virtuale Azure può migliorare la sicurezza e proteggere i dati. Per altre informazioni sui collegamenti privati, vedere: Impostare collegamento privato con Desktop virtuale Azure. | Revisione; Disabile | 1.0.0 |
| Desktop virtuale Azure le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica per la risorsa dell'area di lavoro Desktop virtuale Azure impedisce che il feed sia accessibile tramite Internet pubblico. Consentire solo la rete privata access migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere: Impostare collegamento privato con Desktop virtuale Azure. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Il servizio deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che Azure Web PubSub servizio non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di Azure Web PubSub servizio. Per altre informazioni, vedere: Azure Web PubSub controllo di accesso alla rete. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Il servizio deve usare uno SKU che supporta il collegamento privato | Con lo SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure Web PubSub servizio, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: Azure Web PubSub endpoint privato del servizio. | Revisione; Negare; Disabile | 1.0.0 |
| Azure Web PubSub Il servizio deve usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati al servizio Azure Web PubSub, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: Azure Web PubSub endpoint privato del servizio. | Revisione; Disabile | 1.0.0 |
| servizio Bot deve essere disabilitato l'accesso alla rete pubblica | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione consente di configurare servizio Bot canali che richiedono la disattivazione del traffico su Internet pubblico. | Revisione; Negare; Disabile | 1.0.0 |
| Le risorse di BotService devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla risorsa BotService, i rischi di perdita dei dati vengono ridotti. | Revisione; Disabile | 1.0.0 |
| L'ambiente app contenitore deve disabilitare l'accesso alla rete pubblica | Disabilitare i access di rete pubblica per migliorare la sicurezza esponendo l'ambiente app contenitore tramite un load balancer interno. In questo modo viene rimossa la necessità di un indirizzo IP pubblico e viene impedito l'accesso a Internet access a tutte le app contenitore all'interno dell'ambiente. | Revisione; Negare; Disabile | 1.1.0 |
| i registri Container devono avere SKU che supportano collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Impostare un endpoint privato con collegamento privato per Registro Azure Container. | Revisione; Negare; Disabile | 1.0.0 |
| I registri |
Azure registri contenitori per impostazione predefinita accettano connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire access solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: Configurare l'endpoint privato con collegamento privato per Registro Azure Container, Configurare l'accesso al Registro di sistema pubblico in Azure e Restrict Access to Registro Azure Container Using Service Endpoints. | Revisione; Negare; Disabile | 2.0.0 |
| I registri Container devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere: Impostare un endpoint privato con collegamento privato per Registro Azure Container. | Revisione; Disabile | 1.0.1 |
| Gli account CosmosDB devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Configurare collegamento privato di Azure per un account Azure Cosmos DB. | Revisione; Disabile | 1.0.0 |
| le risorse di access Disk devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Restrict import/export access to managed disks. | AuditIfNotExists; Disabile | 1.0.0 |
| ElasticSan deve disabilitare la rete pubblica access | Disabilitare la rete pubblica access per ElasticSan in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono disabilitare l'accesso alla rete pubblica | Azure Hub eventi deve avere l'accesso alla rete pubblica disabilitato. La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Allow access to Hub eventi di Azure namespaces via private endpoints | Revisione; Negare; Disabile | 1.0.0 |
| Gli spazi dei nomi Event Hub devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere: Allow access to Hub eventi di Azure namespaces via private endpoints. | AuditIfNotExists; Disabile | 1.0.0 |
| gli slot dell'app |
La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| le app |
La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere : Usare endpoint privati per le app. | Revisione; Disabile; Negare | 1.1.0 |
| IoT Central deve usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati all'applicazione IoT Central anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in Sicurezza di rete con endpoint privati in IoT Central. | Revisione; Negare; Disabile | 1.0.0 |
| hub IoT le istanze del servizio device provisioning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che hub IoT'istanza del servizio device provisioning non sia esposta sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle istanze di provisioning dei dispositivi hub IoT. Per altre informazioni, vedere: Virtual network connessioni per DPS. | Revisione; Negare; Disabile | 1.0.0 |
| hub IoT le istanze del servizio device provisioning devono usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: Virtual network connessioni per DPS. | Revisione; Disabile | 1.0.0 |
| Log Analytics le aree di lavoro devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per altre informazioni, vedere Usare collegamento privato di Azure per connettere le reti a Monitoraggio di Azure. | revisione; Revisione; negare; Negare; disabile; Disabile | 1.1.0 |
| Managed disks deve disabilitare la rete pubblica access | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di managed disks. Per altre informazioni, vedere: Restrict import/export access in managed disks. | Revisione; Negare; Disabile | 2.1.0 |
| È necessario abilitare le connessioni endpoint Private in database SQL di Azure | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle database SQL di Azure. | Revisione; Disabile | 1.1.0 |
| EndpointPrivate deve essere abilitato per i server MySQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| EndpointPrivate deve essere abilitato per i server PostgreSQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle Database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | AuditIfNotExists; Disabile | 1.0.2 |
| Public network access for Azure Device Update for hub IoT accounts should be disabled | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'aggiornamento del dispositivo Azure per gli account hub IoT sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access on Esplora dati di Azure should be disabled | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che Esplora dati di Azure sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli account di accesso che corrispondono a IP o virtual network regole del firewall basate su . | Revisione; Negare; Disabile | 1.0.0 |
| A access alla rete pubblica in Azure Data Factory deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'Azure Data Factory sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access on hub IoT di Azure should be disabled | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'hub IoT di Azure sia accessibile solo da un endpoint privato. | Revisione; Negare; Disabile | 1.0.0 |
| A access di rete pubblica in database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli account di accesso che corrispondono a IP o virtual network regole del firewall basate su . | Revisione; Negare; Disabile | 1.1.0 |
| L'accesso alla rete Public deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare access alla risorsa del servizio di sincronizzazione Storage alle richieste destinate agli endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione Storage impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per gli account Batch | La disabilitazione dei access di rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Altre informazioni sulla disabilitazione dell'accesso alla rete pubblica sono disponibili in Usare gli endpoint privati con account Azure Batch. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per i registri contenitori | La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che i registri contenitori non siano esposti sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle risorse del registro contenitori. Per altre informazioni, vedere: Configurare l'accesso al Registro di sistema pubblico in Azure e Impostare l'endpoint privato con collegamento privato per Registro Azure Container. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per IoT Central | Per migliorare la sicurezza di IoT Central, assicurarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in Creare un endpoint privato per Azure IoT Central. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.0 |
| Public network access deve essere disabilitato per i server flessibili MySQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che i server flessibili Database di Azure per MySQL possano essere accessibili solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da qualsiasi spazio di indirizzi pubblico al di fuori dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Revisione; Negare; Disabile | 2.3.0 |
| Public network access deve essere disabilitato per i server MySQL | Disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MySQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Revisione; Negare; Disabile | 2.0.0 |
| Public network access deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che i server flessibili Database di Azure per PostgreSQL possano accedere solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP. | Revisione; Negare; Disabile | 3.1.0 |
| Public network access deve essere disabilitato per i server PostgreSQL | Disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che il Database di Azure per PostgreSQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Revisione; Negare; Disabile | 2.0.1 |
| gli spazi dei nomi bus di servizio devono disabilitare l'accesso alla rete pubblica | bus di servizio di Azure deve essere disabilitato l'accesso alla rete pubblica. La disabilitazione della rete pubblica access migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: Allow access to bus di servizio di Azure namespaces via private endpoints | Revisione; Negare; Disabile | 1.1.0 |
| Storage'account pubblico access non deve essere consentito | L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati causate dall'accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che lo scenario non lo richieda. | revisione; Revisione; negare; Negare; disabile; Disabile | 3.1.1 |
| Storage gli account devono disabilitare la rete pubblica access | Per migliorare la sicurezza degli account di Storage, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà access di rete pubblica come descritto in Storage rete pubblica dell'account access. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Revisione; Negare; Disabile | 1.0.1 |
| Le access di rete per storage account devono essere limitate. Configurare le regole di rete in modo che solo le applicazioni delle reti consentite possano access l'account storage. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Revisione; Negare; Disabile | 1.1.1 | |
| gli account Storage devono limitare le access di rete usando regole di virtual network | Proteggere gli account storage da potenziali minacce usando regole di virtual network come metodo preferito invece del filtro basato su IP. La disabilitazione del filtro basato su IP impedisce agli indirizzi IP pubblici di accedere agli account storage. | Revisione; Negare; Disabile | 1.0.1 |
| Storage gli account devono limitare le access di rete usando regole di virtual network (esclusi gli account storage creati da Databricks) | Proteggere gli account storage da potenziali minacce usando regole di virtual network come metodo preferito invece del filtro basato su IP. La disabilitazione del filtro basato su IP impedisce agli indirizzi IP pubblici di accedere agli account storage. | Revisione; Negare; Disabile | 1.0.0 |
| gli account Storage devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account storage, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere - Che è collegamento privato di Azure? | AuditIfNotExists; Disabile | 2.0.0 |
| Storage gli account devono usare private link (esclusi gli account storage creati da Databricks) | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account storage, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere - Che è collegamento privato di Azure? | AuditIfNotExists; Disabile | 1.0.0 |
| I modelli di Image Builder VM devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: Azure opzioni di rete di Image Builder della macchina virtuale - Distribuire usando una rete virtuale esistente. | Revisione; Disabile; Negare | 1.1.0 |
| [Anteprima]: Azure Key Vault modulo di protezione hardware gestito deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere: Allow trusted services to access Managed HSM. | Revisione; Negare; Disabile | 1.0.0-preview |
| [Anteprima]: Azure Key Vault modulo di protezione hardware gestito deve usare il collegamento privato | Il collegamento privato consente di connettere Azure Key Vault modulo di protezione hardware gestito alle risorse Azure senza inviare traffico tramite Internet pubblico. Private link fornisce protezione avanzata dall'esfiltrazione dei dati. Per altre informazioni, vedere: Integrate Managed HSM con collegamento privato di Azure | Revisione; Disabile | 1.0.0-preview |
| [Anteprima]: Azure insiemi di credenziali di Servizi di ripristino devono usare il collegamento privato per il backup | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure insiemi di credenziali di Servizi di ripristino, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: Creare e usare endpoint privati per Backup di Azure. | Revisione; Disabile | 2.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino devono usare private link | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a Azure insiemi di credenziali di Servizi di ripristino, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati per Azure Site Recovery sono disponibili in: replica Enable per computer locali con endpoint privati e Abilitare la replica per gli endpoint privati in Azure Site Recovery. | Revisione; Disabile | 1.0.0-preview |
NS-3: Implementare il firewall ai bordi della rete aziendale
Per altre informazioni, vedere Sicurezza di rete: NS-3: Distribuire il firewall nella rete perimetrale della rete aziendale.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Ip Forwarding nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists; Disabile | 3.0.0 |
| le porte |
L'accesso JIT (Just-In-Time) di rete possibile verrà monitorato da Centro sicurezza di Azure come raccomandazioni | AuditIfNotExists; Disabile | 3.0.0 |
| le porte Management devono essere chiuse nel virtual machines | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet Questi attacchi tentano di forza bruta le credenziali per ottenere access amministratore al computer. | AuditIfNotExists; Disabile | 3.0.0 |
| Centro sicurezza di Azure ha rilevato che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitando l'accesso a tali subnet con Firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists; Disabile | 3.0.0-preview |
NS-5: Distribuire la protezione DDoS
Per altre informazioni, vedere Sicurezza di rete: NS-5: Distribuire la protezione DDOS.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure Protezione DDoS deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un application gateway con un indirizzo IP pubblico. | AuditIfNotExists; Disabile | 3.0.1 |
| Le reti virtuali devono essere protette da Azure Protezione DDoS | Proteggere le reti virtuali da attacchi volumetrici e protocolli con protezione DDoS Azure. Per altre informazioni, visitare Azure Panoramica della protezione DDoS. | Modificare; Revisione; Disabile | 1.0.1 |
NS-6: Distribuire web application firewall
Per altre informazioni, vedere Network Security: NS-6: Deploy web application firewall.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Web application firewall di Azure deve essere abilitato per Frontdoor di Azure punti di ingresso | Distribuire Web application firewall di Azure (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web application firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È anche possibile limitare access alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP tramite regole personalizzate. | Revisione; Negare; Disabile | 1.0.2 |
| Web application firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Web application firewall di Azure (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web application firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È anche possibile limitare access alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP tramite regole personalizzate. | Revisione; Negare; Disabile | 2.0.0 |
NS-8: rilevare e disabilitare i servizi e i protocolli non sicuri
Per altre informazioni, vedere Sicurezza di rete: NS-8: Rilevare e disabilitare i servizi e i protocolli non sicuri.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| App Service le app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per App Service app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.2.0 |
| le app Function devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists; Disabile | 2.3.0 |
PA-1: separare e limitare utenti con privilegi elevati/amministratori
Per altre informazioni, vedere Privileged Access: PA-1: Separare e limitare utenti con privilegi elevati/amministrativi.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A massimo di 3 proprietari deve essere designato per la sottoscrizione | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists; Disabile | 3.0.0 |
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| There deve essere assegnato più di un proprietario alla sottoscrizione | È consigliabile designare più di un proprietario della sottoscrizione per avere l'amministratore access ridondanza. | AuditIfNotExists; Disabile | 3.0.0 |
PA-2: evitare access permanenti per gli account utente e le autorizzazioni
Per altre informazioni, vedere Privileged Access: PA-2: Evitare access permanenti per gli account utente e le autorizzazioni.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| le porte |
L'accesso JIT (Just-In-Time) di rete possibile verrà monitorato da Centro sicurezza di Azure come raccomandazioni | AuditIfNotExists; Disabile | 3.0.0 |
PA-4: Rivedere e riconciliare regolarmente gli utenti access
Per altre informazioni, vedere Privileged Access: PA-4: Review and riconcilia user access regolarmente.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Blocked con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di lettura per le risorse Azure | Gli account esterni con privilegi di lettura devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di scrittura per le risorse Azure | Gli account esterni con privilegi di scrittura devono essere rimossi dalla sottoscrizione per evitare access non monitorati. | AuditIfNotExists; Disabile | 1.0.0 |
PA-7: Seguire il principio di amministrazione sufficiente (privilegio minimo)
Per altre informazioni, vedere Privileged Access: PA-7: Seguire il principio di amministrazione (privilegio minimo) sufficiente.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management le sottoscrizioni non devono essere con ambito tutte le API | API Management le sottoscrizioni devono essere incluse nell'ambito di un prodotto o di una singola API invece di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Revisione; Disabile; Negare | 1.1.0 |
| Audit utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Revisione; Disabile | 1.0.1 |
| Azure Key Vault deve usare il modello di autorizzazione RBAC | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: Migrate dai criteri di accesso all'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo Azure | Revisione; Negare; Disabile | 1.0.1 |
| Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare Role-Based Controllo di accesso (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Revisione; Disabile | 1.1.0 |
PV-2: Controllare e applicare configurazioni sicure
Per altre informazioni, vedere Comportamento e gestione delle vulnerabilità: PV-2: Controllare e applicare configurazioni sicure.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| API Management endpoint di gestione diretta non deve essere abilitato | L'API REST di gestione diretta in Gestione API di Azure ignora Azure Resource Manager meccanismi di controllo degli accessi in base al ruolo, autorizzazione e limitazione, aumentando così la vulnerabilità del servizio. | Revisione; Disabile; Negare | 1.0.2 |
| App Service le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists; Disabile | 1.0.0 |
| App Service le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app App Service. Il debug remoto deve essere disattivato. | AuditIfNotExists; Disabile | 2.0.0 |
| App Service le app non devono avere CORS configurato per consentire a ogni risorsa di access le app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di access'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists; Disabile | 2.0.0 |
| Gestione API di Azure versione della piattaforma deve essere stv2 | Gestione API di Azure versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni, vedere ritiro della piattaforma API Management stv1 - Cloud Azure globale (agosto 2024) | Revisione; Negare; Disabile | 1.0.0 |
| Azure Arc i cluster Kubernetes abilitati devono avere l'estensione Criteri di Azure installata | L'estensione Criteri di Azure per Azure Arc offre misure di sicurezza e imposizione su larga scala nei cluster Kubernetes con abilitazione di Arc in modo centralizzato e coerente. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | AuditIfNotExists; Disabile | 1.1.0 |
| Azure Machine Learning le istanze di calcolo devono essere ricreate per ottenere gli aggiornamenti software più recenti | Assicurarsi che Azure Machine Learning istanze di calcolo vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere Gestione delle vulnerabilità. | non disponibile | 1.0.3 |
| Criteri di Azure componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster | Criteri di Azure componente aggiuntivo per il servizio Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. | Revisione; Disabile | 1.0.2 |
| le app Function devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists; Disabile | 1.1.0 |
| le app Function devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists; Disabile | 2.1.0 |
| App di funzioni non devono avere CORS configurato per consentire a ogni risorsa di access le app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di access'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists; Disabile | 2.1.0 |
| Kubernetes i limiti di CPU e risorse di memoria del cluster non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | Impedisce ai contenitori di pod di condividere lo spazio dei nomi ID processo host, lo spazio dei nomi IPC host e lo spazio dei nomi della rete host in un cluster Kubernetes. Questa raccomandazione è allineata agli standard di sicurezza dei pod Kubernetes per gli spazi dei nomi host e fa parte di CIS 5.2.1, 5.2.2 e 5.2.3 che sono destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | Revisione; Negare; Disabile | 6.0.0 |
| i contenitori di cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.1 |
| I contenitori del cluster Kubernetes devono usare solo le funzionalità consentite | Limitare le funzionalità per ridurre il surface di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.3.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.3.0 |
| I volumi hostPath del cluster Kubernetes devono usare solo percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Azure Arc Kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.3.0 |
| i pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 6.2.0 |
| i pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | Limitare i pod access alla rete host e alle porte host consentite in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes e allineato agli standard di sicurezza dei pod (PSS) per hostPorts. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | Revisione; Negare; Disabile | 7.0.0 |
| I servizi cluster Kubernetes devono essere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere access al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 8.2.0 |
| il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 9.2.0 |
| i cluster Kubernetes devono disabilitare le credenziali api di montaggio automatico | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 4.2.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | Revisione; Negare; Disabile | 8.0.0 |
| I cluster Kubernetes non devono concedere funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre il surface di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggersi da access non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount. Per altre informazioni, vedere Understand Criteri di Azure per i cluster Kubernetes. | revisione; Revisione; negare; Negare; disabile; Disabile | 4.2.0 |
PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo
Per altre informazioni, vedere Comportamento e gestione delle vulnerabilità: PV-4: Controllare e applicare configurazioni sicure per le risorse di calcolo.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| E extension configuration deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni all'interno del sistema guest del computer, installare l'estensione Guest Configuration. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio "Windows Exploit Guard deve essere abilitato". Per altre informazioni, vedere Understand Azure Machine Configuration. | AuditIfNotExists; Disabile | 1.0.3 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | AuditIfNotExists; Disabile | 2.3.0 |
| L'estensione configurazione guest di Virtual machines deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure macchine virtuali nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni, vedere Understand Azure Machine Configuration | AuditIfNotExists; Disabile | 1.0.1 |
| Windows i computer devono soddisfare i requisiti della baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, visitare Understand Azure Machine Configuration. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | AuditIfNotExists; Disabile | 2.1.0 |
| [Anteprima]: i server HCI Azure Stack devono applicare in modo coerente i criteri di controllo delle applicazioni | Applicare almeno il criterio di base WDAC Microsoft in modalità applicata a tutti i server HCI Azure Stack. I criteri di controllo delle applicazioni applicati Windows Defender (WDAC) devono essere coerenti tra server nello stesso cluster. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: Azure Stack server HCI devono soddisfare i requisiti di base protetti | Assicurarsi che tutti i server HCI Azure Stack soddisfino i requisiti di base protetti. Per abilitare i requisiti del server di memoria centrale protetta: 1. Nella pagina Azure Stack cluster HCI passare a Windows Admin Center e selezionare Connetti. 2. Passare all'estensione Sicurezza e selezionare memoria centrale protetta (Secured-core). 3. Selezionare qualsiasi impostazione non abilitata e fare clic su Abilita. | Revisione; Disabile; AuditIfNotExists | 1.0.0-preview |
| Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e virtual machines Linux riservato. | AuditIfNotExists; Disabile | 6.0.0-preview | |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità linux virtual machines supportati | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai virtual machine scale sets Di avvio attendibile e Confidential Linux. | AuditIfNotExists; Disabile | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali supportate Windows | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | AuditIfNotExists; Disabile | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali supportati Windows | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e Riservato Windows set di scalabilità di macchine virtuali. | AuditIfNotExists; Disabile | 3.1.0-preview |
| [Preview]: Linux virtual machines deve usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | AuditIfNotExists; Disabile | 1.0.0-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows | Abilitare l'avvio protetto nelle macchine virtuali supportate Windows per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | Revisione; Disabile | 4.0.0-preview |
| Abilitare il dispositivo TPM virtuale nelle virtual machines supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle virtual machines abilitate per l'avvio attendibile. | Revisione; Disabile | 2.0.0-preview |
PV-5: Eseguire valutazioni delle vulnerabilità
Per altre informazioni, vedere Posture and Vulnerability Management: PV-5: Eseguire valutazioni delle vulnerabilità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| A soluzione di valutazione della vulnerabilità deve essere abilitata nel virtual machines | Controlla virtual machines per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists; Disabile | 3.0.0 |
| Machines dovrebbe avere risultati segreti risolti | Controlla virtual machines per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nel virtual machines. | AuditIfNotExists; Disabile | 1.0.2 |
| Valutazione dellavulnerability deve essere abilitata in Istanza gestita di SQL | Controlla ogni Istanza gestita di SQL che non dispone di analisi ricorrenti della valutazione delle vulnerabilità abilitate. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists; Disabile | 1.0.1 |
| Valutazione dellavulnerability deve essere abilitata nei server SQL | Controllare Azure SQL server che non dispongono di una valutazione della vulnerabilità configurata correttamente. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists; Disabile | 3.0.0 |
PV-6: correggere rapidamente e automaticamente le vulnerabilità
Per altre informazioni, vedere Posture and Vulnerability Management: PV-6: Rapid and automatically remediare le vulnerabilità.
| Nome | Description | Effect(s) | Versione |
|---|---|---|---|
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists; Disabile | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente il surface di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists; Disabile | 1.0.1 |
| Machines deve essere configurato per verificare periodicamente la presenza di aggiornamenti di sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: Windows modalità di valutazione delle patch, per Linux: Moda patchlinux. | Revisione; Negare; Disabile | 3.9.0 |
| I database SQL devono essere risolti | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists; Disabile | 4.1.0 |
| I server SQL nei computer devono avere i risultati della vulnerabilità risolti | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists; Disabile | 1.0.0 |
| Gli aggiornamenti del sistema devono essere installati nei computer (con tecnologia Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists; Disabile | 1.0.1 |
Passaggi successivi
- Per altre informazioni sui dettagli del controllo, vedere Microsoft benchmark della sicurezza cloud.
- Vedere il mapping dei controlli CISB v2 a CIS per una visualizzazione consolidata dei mapping dei controlli CIS v8.1
- Assegnare criteri tramite il portale Azure
- Altre informazioni su Criteri di Azure