Suggerimenti per la sicurezza

Articolo
05/23/2024

Questo articolo elenca tutte le raccomandazioni sulla sicurezza che è possibile visualizzare in Microsoft Defender per il cloud. Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.

Consigli in Defender per il cloud si basano sul benchmark della sicurezza del cloud Microsoft. Il benchmark della sicurezza del cloud Microsoft è il set di linee guida per le procedure consigliate per la sicurezza e la conformità. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con particolare attenzione alla sicurezza basata sul cloud.

Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.

Il punteggio di sicurezza si basa sul numero di raccomandazioni di sicurezza completate. Per decidere quali raccomandazioni risolvere prima, esaminare la gravità di ogni raccomandazione e il potenziale impatto sul punteggio di sicurezza.

Suggerimento

Se la descrizione di una raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa e dai relativi criteri.

Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata anche una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. Limitando i criteri solamente alla raccomandazione fondamentale semplifica la gestione dei criteri.

Raccomandazioni per AppServices

L'app per le API deve essere accessibile solo tramite HTTPS

Descrizione: l'uso di HTTPS garantisce l'autenticazione server/servizio e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. (Criterio correlato: L'app per le API deve essere accessibile solo tramite HTTPS.

Gravità: medio

CORS non deve consentire a tutte le risorse di accedere alle app per le API

Descrizione: la condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le API. Consentire solo ai domini necessari di interagire con l'app per le API. (Criterio correlato: CORS non deve consentire a tutte le risorse di accedere all'app per le API.

Gravità: Bassa

CORS non deve consentire a ogni risorsa di accedere alle app per le funzioni

Descrizione: La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. (Criterio correlato: CORS non deve consentire a ogni risorsa di accedere alle app per le funzioni.

Gravità: Bassa

CORS non deve consentire a ogni risorsa di accedere alle applicazioni Web

Descrizione: la condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'applicazione Web. Consentire solo ai domini necessari di interagire con l'app Web dell'utente. (Criterio correlato: CORS non deve consentire a tutte le risorse di accedere alle applicazioni Web.

Gravità: Bassa

I log di diagnostica in servizio app devono essere abilitati

Descrizione: controllare l'abilitazione dei log di diagnostica nell'app. In questo modo è possibile ricreare i percorsi attività a scopo di indagine se si verifica un evento imprevisto di sicurezza o la rete viene compromessa (nessun criterio correlato).

Gravità: medio

Verificare che l'app per le API abbia certificati client in ingresso certificati impostati su Sì

Descrizione: i certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. (Criterio correlato: Verificare che l'app per le API disponga di "Certificati client (certificati client in ingresso)" impostata su "Sì".

Gravità: medio

FtpS deve essere necessario nelle app per le API

Descrizione: abilitare l'imposizione FTPS per la sicurezza avanzata (criterio correlato: FTPS deve essere necessario solo nell'app per le API).

Gravità: alta

FTPS deve essere necessario nelle app per le funzioni

Descrizione: abilitare l'applicazione FTPS per la sicurezza avanzata (criterio correlato: FTPS deve essere necessario solo nell'app per le funzioni).

Gravità: alta

FtpS deve essere necessario nelle app Web

Descrizione: abilitare l'applicazione FTPS per la sicurezza avanzata (criterio correlato: FTPS deve essere necessario nell'app Web).

Gravità: alta

L'app per le funzioni deve essere accessibile solo tramite HTTPS

Gravità: medio

Le app per le funzioni devono avere certificati client (certificati client in ingresso) abilitati

Descrizione: i certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. (Criterio correlato: Le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)".

Gravità: medio

Java deve essere aggiornato alla versione più recente per le app per le API

Descrizione: periodicamente, le versioni più recenti vengono rilasciate per Java a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Python per le app per le API per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: Assicurarsi che la "versione Java" sia la più recente, se usata come parte dell'app per le API).

Gravità: medio

L'identità gestita deve essere usata nelle app per le API

Descrizione: per la sicurezza avanzata dell'autenticazione, usare un'identità gestita. In Azure le identità gestite eliminano la necessità di gestire le credenziali fornendo un'identità per la risorsa di Azure in Azure AD che è possibile usare per ottenere i token di Azure Active Directory (Azure AD). (Criterio correlato: L'identità gestita deve essere usata nell'app per le API.

Gravità: medio

L'identità gestita deve essere usata nelle app per le funzioni

Gravità: medio

L'identità gestita deve essere usata nelle app Web

Gravità: medio

Microsoft Defender per servizio app deve essere abilitato

Descrizione: Microsoft Defender per servizio app sfrutta la scalabilità del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi comuni alle app Web. Microsoft Defender per servizio app può individuare gli attacchi alle applicazioni e identificare gli attacchi emergenti.

Importante: la correzione di questa raccomandazione comporterà addebiti per la protezione dei piani di servizio app. Se nella sottoscrizione non sono presenti piani di servizio app, non verranno applicati addebiti. Se in futuro si creano piani di servizio app nella sottoscrizione, tali piani saranno protetti automaticamente e l'applicazione degli addebiti avrà inizio in tale momento. Per altre informazioni, vedere Proteggere le app Web e le API. (Criterio correlato: Azure Defender per servizio app deve essere abilitato).

Gravità: alta

PHP deve essere aggiornato alla versione più recente per le app per le API

Descrizione: periodicamente, le versioni più recenti vengono rilasciate per il software PHP a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di PHP per le app per le API per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: Assicurarsi che la "versione PHP" sia la più recente, se usata come parte dell'app per le API).

Gravità: medio

Python deve essere aggiornato alla versione più recente per le app per le API

Descrizione: periodicamente, le versioni più recenti vengono rilasciate per il software Python a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Python per le app per le API per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: Assicurarsi che la versione di Python sia la più recente, se usata come parte dell'app per le API.

Gravità: medio

Il debug remoto deve essere disattivato per l'app per le API

Descrizione: il debug remoto richiede l'apertura delle porte in ingresso in un'app per le API. Il debug remoto deve essere disattivato. (Criterio correlato: Il debug remoto deve essere disattivato per le app per le API.

Gravità: Bassa

Il debug remoto deve essere disattivato per l'app per le funzioni

Descrizione: il debug remoto richiede l'apertura di porte in ingresso in un'app per le funzioni di Azure. Il debug remoto deve essere disattivato. (Criterio correlato: Il debug remoto deve essere disattivato per le app per le funzioni.

Gravità: Bassa

Il debug remoto deve essere disattivato per le applicazioni Web

Descrizione: il debug remoto richiede l'apertura di porte in ingresso in un'applicazione Web. Il debug remoto è attualmente abilitato. Se non è più necessario usare il debug remoto, è consigliabile disattivarlo. (Criterio correlato: Il debug remoto deve essere disattivato per le applicazioni Web.

Gravità: Bassa

TLS deve essere aggiornato alla versione più recente per le app per le API

Descrizione: eseguire l'aggiornamento alla versione più recente di TLS. (Criterio correlato: Nell'app per le API deve essere usata la versione più recente di TLS.

Gravità: alta

TLS deve essere aggiornato alla versione più recente per le app per le funzioni

Descrizione: eseguire l'aggiornamento alla versione più recente di TLS. (Criterio correlato: L'ultima versione di TLS deve essere usata nell'app per le funzioni.

Gravità: alta

TLS deve essere aggiornato alla versione più recente per le app Web

Descrizione: eseguire l'aggiornamento alla versione più recente di TLS. (Criterio correlato: Nell'app Web deve essere usata la versione più recente di TLS.

Gravità: alta

L'applicazione Web deve essere accessibile solo tramite HTTPS

Descrizione: l'uso di HTTPS garantisce l'autenticazione server/servizio e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. (Criterio correlato: L'applicazione Web deve essere accessibile solo tramite HTTPS).

Gravità: medio

Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso

Descrizione: i certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. (Criterio correlato: Verificare che l'app WEB disponga di "Certificati client (certificati client in ingresso)" impostata su "Sì".

Gravità: medio

Raccomandazioni per le istanze di calcolo

I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer

Descrizione: abilitare i controlli dell'applicazione per definire l'elenco di applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, Defender per il cloud usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. (Criterio correlato: I controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer.

Gravità: alta

Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate

Descrizione: monitorare le modifiche apportate al comportamento nei gruppi di computer configurati per il controllo tramite i controlli delle applicazioni adattivi di Defender per il cloud. Defender per il cloud usa l'apprendimento automatico per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure note. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. (Criterio correlato: Le regole allowlist nei criteri di controllo delle applicazioni adattivi devono essere aggiornate.

Gravità: alta

L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH

Descrizione: anche se SSH fornisce una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Per altre informazioni, vedere Procedura dettagliata: Creare e gestire chiavi SSH per l'autenticazione in una macchina virtuale Linux in Azure. (Criterio correlato: Controllare i computer Linux che non usano la chiave SSH per l'autenticazione.

Gravità: medio

Le variabili dell'account di automazione devono essere crittografate

Descrizione: è importante abilitare la crittografia degli asset di variabili dell'account di Automazione durante l'archiviazione dei dati sensibili. (Criterio correlato: Le variabili dell'account di Automazione devono essere crittografate.

Gravità: alta

Backup di Azure deve essere abilitato per le macchine virtuali

Descrizione: proteggere i dati nelle macchine virtuali di Azure con Backup di Azure. Backup di Azure è una soluzione nativa di Azure per la protezione dei dati a costi contenuti. Crea punti di ripristino che vengono archiviati negli insiemi di credenziali di ripristino con ridondanza geografica. Quando si esegue il ripristino da un punto di recupero, è possibile ripristinare la macchina virtuale intera o parziale. (Criterio correlato: Backup di Azure deve essere abilitato per Macchine virtuali).

Gravità: Bassa

Gli host contenitore devono essere configurati in modo sicuro

Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer con Docker installato per proteggerle dagli attacchi. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle configurazioni di sicurezza dei contenitori.

Gravità: alta

I log di diagnostica devono essere abilitati in Analisi di flusso di Azure

Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in Analisi di flusso di Azure devono essere abilitati.

Gravità: Bassa

È consigliabile abilitare i log di diagnostica negli account Batch

Gravità: Bassa

I log di diagnostica in Hub eventi devono essere abilitati

Gravità: Bassa

È consigliabile abilitare i log di diagnostica in App per la logica

Descrizione: per assicurarsi di poter ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa, abilitare la registrazione. Se i log di diagnostica non vengono inviati a un'area di lavoro Log Analytics, Archiviazione di Azure account o Hub eventi di Azure, assicurarsi di aver configurato le impostazioni di diagnostica per inviare le metriche della piattaforma e i log della piattaforma alle destinazioni pertinenti. Per altre informazioni, vedere Creare impostazioni di diagnostica per inviare log e metriche della piattaforma a destinazioni diverse. (Criterio correlato: I log di diagnostica in App per la logica devono essere abilitati.

Gravità: Bassa

È consigliabile abilitare i log di diagnostica nel bus di servizio

Gravità: Bassa

È consigliabile abilitare i log di diagnostica nei set di scalabilità di macchine virtuali

Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in set di scalabilità di macchine virtuali devono essere abilitati).

Gravità: alta

I problemi di configurazione EDR devono essere risolti nelle macchine virtuali

Descrizione: per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione DIR (Endpoint Detection and Response) installata.
Nota: attualmente questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint (MDE) abilitata.

Gravità: Bassa

La soluzione EDR deve essere installata in Macchine virtuali

Descrizione: l'installazione di una soluzione di rilevamento e risposta degli endpoint nelle macchine virtuali è importante per la protezione dalle minacce avanzate. Gli edR aiutano a prevenire, rilevare, analizzare e rispondere a queste minacce. Microsoft Defender per server può essere usato per distribuire Microsoft Defender per endpoint. Se una risorsa è classificata come "Non integra", indica l'assenza di una soluzione EDR supportata. Se una soluzione EDR è installata ma non individuabile da questa raccomandazione, può essere esente. Senza una soluzione EDR, le macchine virtuali sono a rischio di minacce avanzate.

Gravità: alta

I problemi di integrità di Endpoint Protection nei set di scalabilità di macchine virtuali devono essere risolti

Descrizione: correggere gli errori di integrità di Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. (Criterio correlato: La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali.

Gravità: Bassa

Endpoint Protection deve essere installato nei set di scalabilità di macchine virtuali

Descrizione: installare una soluzione endpoint protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. (Criterio correlato: La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali.

Gravità: alta

Il monitoraggio dell'integrità dei file deve essere abilitato nei computer

Descrizione: Defender per il cloud ha identificato i computer che mancano di una soluzione di monitoraggio dell'integrità dei file. Per monitorare le modifiche apportate a file critici, chiavi del Registro di sistema e altro ancora nei server, abilitare il monitoraggio dell'integrità dei file. Quando la soluzione di monitoraggio dell'integrità dei file è abilitata, creare regole di raccolta dati per definire i file da monitorare. Per definire le regole o visualizzare i file modificati nei computer con regole esistenti, passare alla pagina di gestione del monitoraggio dell'integrità dei file. (Nessun criterio correlato)

Gravità: alta

L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati

Descrizione: installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire alle Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali Linux abilitati per l'avvio attendibile.

Importante: l'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso. Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)

Gravità: Bassa

L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate

Descrizione: installare l'estensione attestazione guest nelle macchine virtuali Linux supportate per consentire Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo alle macchine virtuali Linux abilitate per l'avvio attendibile.

Gravità: Bassa

L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati

Descrizione: installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire alle Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali abilitati per l'avvio attendibile.

Gravità: Bassa

L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate

Descrizione: installare l'estensione attestazione guest nelle macchine virtuali supportate per consentire Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile.

Gravità: Bassa

L'estensione configurazione guest deve essere installata nei computer

Descrizione: per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio Windows Exploit Guard, devono essere abilitati. (Criterio correlato: Le macchine virtuali devono avere l'estensione Configurazione guest.

Gravità: medio

Installare la soluzione Endpoint Protection nelle macchine virtuali

Descrizione: installare una soluzione endpoint protection nelle macchine virtuali per proteggerli da minacce e vulnerabilità. (Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure).

Gravità: alta

Le macchine virtuali Linux devono applicare la convalida della firma del modulo kernel

Descrizione: per attenuare l'esecuzione di codice dannoso o non autorizzato in modalità kernel, applicare la convalida della firma del modulo kernel nelle macchine virtuali Linux supportate. La convalida della firma del modulo kernel garantisce che solo i moduli kernel attendibili possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)

Gravità: Bassa

Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili

Descrizione: con l'avvio protetto abilitato, tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco elementi consentiti o rimuovere i componenti identificati. (Nessun criterio correlato)

Gravità: Bassa

Le macchine virtuali Linux devono usare l'avvio protetto

Descrizione: per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)

Gravità: Bassa

L'agente di Log Analytics deve essere installato in computer abilitati per Azure Arc basati su Linux

Descrizione: Defender per il cloud usa l'agente di Log Analytics (noto anche come OMS) per raccogliere gli eventi di sicurezza dai computer Azure Arc. Per distribuire l'agente in tutte le macchine virtuali Azure Arc, seguire la procedura di risoluzione dei problemi. (Nessun criterio correlato)

Gravità: alta

L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali

Descrizione: Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure per monitorare le vulnerabilità e le minacce per la sicurezza. I dati vengono raccolti usando l'agente di Log Analytics, noto in precedenza come Microsoft Monitoring Agent (MMA), che legge diverse configurazioni e log eventi correlati alla sicurezza dal computer e copia i dati nell'area di lavoro per l'analisi. È anche necessario seguire questa procedura se le macchine virtuali vengono usate da un servizio gestito di Azure, ad esempio servizio Azure Kubernetes o Azure Service Fabric. Non è possibile configurare il provisioning automatico dell'agente per i set di scalabilità di macchine virtuali di Azure. Per distribuire l'agente nei set di scalabilità di macchine virtuali, inclusi quelli usati dai servizi gestiti di Azure come il Servizio Azure Kubernetes e Azure Service Fabric, seguire la procedura indicata nei passaggi per la correzione. (Criterio correlato: L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio di Centro sicurezza di Azure).

Gravità: alta

L'agente di Log Analytics deve essere installato nelle macchine virtuali

Descrizione: Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure per monitorare le vulnerabilità e le minacce per la sicurezza. I dati vengono raccolti usando l'agente di Log Analytics, noto in precedenza come Microsoft Monitoring Agent (MMA), che legge diverse configurazioni e log eventi correlati alla sicurezza dal computer e copia i dati nell'area di lavoro di Log Analytics per l'analisi. Questo agente è necessario anche se le macchine virtuali vengono usate da un servizio gestito di Azure, ad esempio servizio Azure Kubernetes o Azure Service Fabric. È consigliabile configurare il provisioning automatico per distribuire automaticamente l'agente. Se si sceglie di non usare il provisioning automatico, distribuire manualmente l'agente nelle VM usando le istruzioni disponibili nella procedura di correzione. (Criterio correlato: L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio di Centro sicurezza di Azure).

Gravità: alta

L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basati su Windows

Descrizione: Defender per il cloud usa l'agente di Log Analytics (noto anche come MMA) per raccogliere gli eventi di sicurezza dai computer Azure Arc. Per distribuire l'agente in tutte le macchine virtuali Azure Arc, seguire la procedura di risoluzione dei problemi. (Nessun criterio correlato)

Gravità: alta

I computer devono essere configurati in modo sicuro

Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer per proteggerle dagli attacchi. (Criterio correlato: Le vulnerabilità nella configurazione di sicurezza nei computer devono essere risolte.

Gravità: Bassa

I computer devono essere riavviati per applicare gli aggiornamenti della configurazione della sicurezza

Descrizione: per applicare gli aggiornamenti della configurazione della sicurezza e proteggersi dalle vulnerabilità, riavviare i computer. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)

Gravità: Bassa

I computer devono avere una soluzione di valutazione della vulnerabilità

Descrizione: Defender per il cloud controlla regolarmente i computer connessi per assicurarsi che eseguano strumenti di valutazione della vulnerabilità. Usare questa raccomandazione per distribuire una soluzione di valutazione della vulnerabilità. (Criterio correlato: Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali.

Gravità: medio

I computer devono avere i risultati della vulnerabilità risolti

Descrizione: risolvere i risultati delle soluzioni di valutazione della vulnerabilità nelle macchine virtuali. (Criterio correlato: Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali.

Gravità: Bassa

Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT

Descrizione: Defender per il cloud ha identificato alcune regole in ingresso eccessivamente permissive per le porte di gestione nel gruppo di sicurezza di rete. Abilitare l'accesso Just-In-Time per proteggere la VM da attacchi di forza bruta basati su Internet. Per altre informazioni, vedere Informazioni sull'accesso JIT (Just-In-Time) alle macchine virtuali. (Criterio correlato: Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JITE.

Gravità: alta

Microsoft Defender per i server deve essere abilitato

Descrizione: Microsoft Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. È possibile usare queste informazioni per correggere rapidamente i problemi di sicurezza e migliorare la sicurezza dei server.

Importante: la correzione di questa raccomandazione comporterà addebiti per la protezione dei server. Se nella sottoscrizione non sono presenti server, non verranno applicati addebiti. Se in futuro si creano server nella sottoscrizione, tali server saranno protetti automaticamente e l'applicazione degli addebiti avrà inizio in tale momento. Per altre informazioni, vedere Introduzione a Microsoft Defender per server. (Criterio correlato: Azure Defender per i server deve essere abilitato.

Gravità: alta

Microsoft Defender per i server deve essere abilitato nelle aree di lavoro

Descrizione: Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per i server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per i server in un'area di lavoro, tutti i computer che segnalano a tale area di lavoro verranno addebitati i costi per Microsoft Defender per i server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per i server nella sottoscrizione, tali computer non potranno sfruttare l'accesso jite alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure. Per altre informazioni, vedere Introduzione a Microsoft Defender per server. (Nessun criterio correlato)

Gravità: medio

L'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate

Descrizione: abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, il kernel e i driver del kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Windows abilitate per l'avvio attendibile.

Gravità: Bassa

La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign

Descrizione: Service Fabric offre tre livelli di protezione (Nessuno, Firma e EncryptAndSign) per la comunicazione da nodo a nodo usando un certificato del cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente. (Criterio correlato: I cluster di Service Fabric devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign.

Gravità: alta

I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client

Descrizione: eseguire l'autenticazione client solo tramite Azure Active Directory in Service Fabric (criterio correlato: i cluster di Service Fabric devono usare Solo Azure Active Directory per l'autenticazione client).

Gravità: alta

Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati

Descrizione: installare gli aggiornamenti critici e della sicurezza del sistema mancanti per proteggere i set di scalabilità di macchine virtuali Windows e Linux. (Criterio correlato: Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati.

Gravità: alta

Gli aggiornamenti di sistema devono essere installati nelle macchine

Descrizione: installare gli aggiornamenti critici e della sicurezza del sistema mancanti per proteggere le macchine virtuali e i computer Windows e Linux (criterio correlato: gli aggiornamenti di sistema devono essere installati nei computer).

Gravità: alta

Gli aggiornamenti di sistema devono essere installati nei computer (con tecnologia Update Center)

Descrizione: i computer mancano aggiornamenti di sistema, sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. (Nessun criterio correlato)

Gravità: alta

I set di scalabilità di macchine virtuali devono essere configurati in modo sicuro

Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei set di scalabilità di macchine virtuali per proteggerle dagli attacchi. (Criterio correlato: È necessario correggere le vulnerabilità nella configurazione di sicurezza nei set di scalabilità di macchine virtuali.

Gravità: alta

Lo stato di attestazione guest delle macchine virtuali deve essere integro

Descrizione: l'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio, che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. (Nessun criterio correlato)

Gravità: medio

L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema

Descrizione: l'estensione Configurazione guest richiede un'identità gestita assegnata dal sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Altre informazioni (criterio correlato: l'estensione configurazione guest deve essere distribuita nelle macchine virtuali di Azure con identità gestita assegnata dal sistema).

Gravità: medio

È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager

Descrizione: Macchine virtuali (versione classica) è deprecata e queste macchine virtuali devono essere migrate in Azure Resource Manager. Poiché Azure Resource Manager offre ora funzionalità IaaS complete e altri miglioramenti, la gestione delle macchine virtuali IaaS tramite Azure Service Manager (ASM) è stata deprecata il 28 febbraio 2020. Questa funzionalità verrà ritirata completamente il 1° marzo 2023.

Per visualizzare tutte le macchine virtuali classiche interessate, assicurarsi di selezionare tutte le sottoscrizioni di Azure nella scheda "directory e sottoscrizioni".

Risorse disponibili e informazioni su questo strumento e migrazione: Panoramica della deprecazione delle macchine virtuali (versione classica), processo dettagliato per la migrazione e le risorse Microsoft disponibili.Informazioni dettagliate sulla migrazione allo strumento di migrazione di Azure Resource Manager.Eseguire la migrazione allo strumento di migrazione di Azure Resource Manager con PowerShell. (Criterio correlato: È necessario eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager.

Gravità: alta

Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione

Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Per un confronto tra diverse tecnologie di crittografia dei dischi in Azure, vedere https://aka.ms/diskencryptioncomparison. Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se:

Si usa la funzionalità encryption-at-host o 2. La crittografia sul lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione. (Criterio correlato: La crittografia del disco deve essere applicata alle macchine virtuali)

Gravità: alta

VTPM deve essere abilitato nelle macchine virtuali supportate

Descrizione: abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile.

Gravità: Bassa

Le vulnerabilità nella configurazione di sicurezza nei computer Linux devono essere corrette (con tecnologia Configurazione guest)

Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer Linux per proteggerle dagli attacchi. (Criterio correlato: I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure.

Gravità: Bassa

Le vulnerabilità nella configurazione di sicurezza nei computer Windows devono essere corrette (con tecnologia Configurazione guest)

Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer Windows per proteggerle dagli attacchi. (Nessun criterio correlato)

Gravità: Bassa

Windows Defender Exploit Guard deve essere abilitato nei computer

Descrizione: Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). (Criterio correlato: Controlla i computer Windows in cui Windows Defender Exploit Guard non è abilitato.

Gravità: medio

I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri

Descrizione: per proteggere la privacy delle informazioni comunicate tramite Internet, i server Web devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete usando i certificati di sicurezza per crittografare una connessione tra computer. (Criterio correlato: Controlla i server Web Windows che non usano protocolli di comunicazione sicuri.

Gravità: alta

Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost

Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti i dati. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. (Criterio correlato: Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost.

Gravità: alta

Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost

Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti i dati. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. (Criterio correlato: Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost.

Gravità: alta

Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host

Descrizione: usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per altre informazioni, vedere Usare il portale di Azure per abilitare la crittografia end-to-end usando la crittografia nell'host. (Criterio correlato: Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host.

Gravità: medio

(Anteprima) I server Azure Stack HCI devono soddisfare i requisiti di base protetti

Descrizione: assicurarsi che tutti i server Azure Stack HCI soddisfino i requisiti di base protetti. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.

Gravità: Bassa

(Anteprima) I server Azure Stack HCI devono avere criteri di controllo delle applicazioni applicati in modo coerente

Descrizione: applicare almeno i criteri di base Microsoft WDAC in modalità applicata in tutti i server Azure Stack HCI. I criteri windows Defender Application Control (WDAC) applicati devono essere coerenti tra server nello stesso cluster. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.

Gravità: alta

(Anteprima) I sistemi Azure Stack HCI devono avere volumi crittografati

Descrizione: usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi Azure Stack HCI. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.

Gravità: alta

(Anteprima) Le reti host e VM devono essere protette nei sistemi Azure Stack HCI

Descrizione: proteggere i dati nella rete dell'host Azure Stack HCI e nelle connessioni di rete delle macchine virtuali. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.

Gravità: Bassa

Consigli per i contenitori

[Anteprima] Le immagini del contenitore nel Registro Azure devono avere i risultati della vulnerabilità risolti

Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore.

Gravità: alta

Tipo: Valutazione della vulnerabilità

[Anteprima] I contenitori in esecuzione in Azure devono avere i risultati della vulnerabilità risolti

Descrizione: Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore.

Gravità: alta

Tipo: Valutazione della vulnerabilità

(Abilita se necessario) I registri contenitori devono essere crittografati con una chiave gestita dal cliente

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/acr/CMK. (Criterio correlato: I registri contenitori devono essere crittografati con una chiave gestita dal cliente (CMK).

Gravità: Bassa

Tipo: Piano di controllo

Nei cluster Kubernetes abilitati per Azure Arc deve essere installata l'estensione Criteri di Azure

Descrizione: Criteri di Azure'estensione per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. (Nessun criterio correlato)

Gravità: alta

Tipo: Piano di controllo

I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Defender installata

Descrizione: l'estensione di Defender per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del piano di controllo (master) nel cluster e li invia al back-end di Microsoft Defender per Kubernetes nel cloud per ulteriori analisi. (Nessun criterio correlato)

Gravità: alta

Tipo: Piano di controllo

I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato

Descrizione: Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita il profilo SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito al cluster per raccogliere i dati degli eventi di sicurezza. Per altre informazioni, vedere Introduzione a Microsoft Defender per contenitori. (Nessun criterio correlato)

Gravità: alta

Tipo: Piano di controllo

servizio Azure Kubernetes cluster devono essere installati il componente aggiuntivo Criteri di Azure per Kubernetes

Descrizione: Criteri di Azure componente aggiuntivo per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. Defender per il cloud richiede il componente aggiuntivo per controllare e applicare funzionalità di sicurezza e conformità all'interno dei cluster. Altre informazioni. Richiede Kubernetes v 1.14.0 o versione successiva. (Criterio correlato: Criteri di Azure componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster.

Gravità: alta

Tipo: Piano di controllo

I registri contenitori non devono consentire l'accesso alla rete senza restrizioni

Descrizione: i registri contenitori di Azure accettano per impostazione predefinita le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da indirizzi o intervalli di indirizzi IP pubblici specifici. Se nel registro non sono configurate regole del firewall o IP o una rete virtuale, il registro verrà visualizzato nelle risorse non integre. Per altre informazioni sulle regole di rete per il Registro Azure Container, vedere https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. (Criterio correlato: I registri contenitori non devono consentire l'accesso alla rete senza restrizioni.

Gravità: medio

Tipo: Piano di controllo

I registri contenitori devono usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. (Criterio correlato: I registri contenitori devono usare un collegamento privato.

Gravità: medio

Tipo: Piano di controllo

I log di diagnostica nei servizi Kubernetes devono essere abilitati

Descrizione: abilitare i log di diagnostica nei servizi Kubernetes e conservarli fino a un anno. In questo modo è possibile ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza. (Nessun criterio correlato)

Gravità: Bassa

Tipo: Piano di controllo

Il server API Kubernetes deve essere configurato con accesso limitato

Descrizione: per garantire che solo le applicazioni di reti, computer o subnet consentite possano accedere al cluster, limitare l'accesso al server API Kubernetes. È possibile limitare l'accesso definendo gli intervalli IP autorizzati o configurando i server API come cluster privati, come illustrato in Creare un cluster servizio Azure Kubernetes privato. (Criterio correlato: Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes.

Gravità: alta

Tipo: Piano di controllo

I Controllo di accesso basati sui ruoli devono essere usati nei servizi Kubernetes

Descrizione: per fornire filtri granulari sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. (Criterio correlato: I Controllo di accesso basati sui ruoli (RBAC) devono essere usati nei servizi Kubernetes.

Gravità: alta

Tipo: Piano di controllo

Microsoft Defender per contenitori deve essere abilitato

Descrizione: Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multicloud. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.

Importante: la correzione di questa raccomandazione comporterà addebiti per la protezione dei cluster Kubernetes. Se nella sottoscrizione non sono presenti cluster Kubernetes, non verranno applicati addebiti. Se si creano cluster Kubernetes in questa sottoscrizione in futuro, questi verranno protetti automaticamente e gli addebiti inizieranno in quel momento. Per altre informazioni, vedere Introduzione a Microsoft Defender per contenitori. (Nessun criterio correlato)

Gravità: alta

Tipo: Piano di controllo

È consigliabile applicare limiti per la CPU e la memoria dei contenitori

Descrizione: l'applicazione dei limiti di CPU e memoria impedisce attacchi di esaurimento delle risorse (una forma di attacco Denial of Service).

È consigliabile configurare limiti per i contenitori, in modo da assicurare che il runtime impedisca al contenitore di usare un numero di risorse superiore al limite configurato.

(Criterio correlato: Verificare che i limiti delle risorse di CPU e memoria del contenitore non superino i limiti specificati nel cluster Kubernetes.

Gravità: medio

Tipo: Piano dati Kubernetes

Le immagini del contenitore devono essere distribuite solo da registri attendibili

Descrizione: le immagini in esecuzione nel cluster Kubernetes devono provenire da registri di immagini contenitore noti e monitorati. I registri attendibili riducono il rischio di esposizione del cluster limitando il potenziale di introduzione di vulnerabilità sconosciute, problemi di sicurezza e immagini dannose.

(Criterio correlato: Assicurarsi che nel cluster Kubernetes siano consentite solo le immagini del contenitore consentite.

Gravità: alta

Tipo: Piano dati Kubernetes

È consigliabile evitare i contenitori con escalation dei privilegi

Descrizione: i contenitori non devono essere eseguiti con l'escalation dei privilegi alla radice nel cluster Kubernetes. L'attributo AllowPrivilegeEscalation consente di determinare se un processo può ottenere più privilegi rispetto al processo padre. (Criterio correlato: I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori.

Gravità: medio

Tipo: piano dati Kubernetes

Descrizione: per evitare l'escalation dei privilegi all'esterno del contenitore, evitare l'accesso dei pod agli spazi dei nomi host sensibili (ID processo host e IPC host) in un cluster Kubernetes. (Criterio correlato: I contenitori del cluster Kubernetes non devono condividere l'ID processo host o lo spazio dei nomi IPC host.

Gravità: medio

Tipo: piano dati Kubernetes

I contenitori devono usare solo i profili AppArmor consentiti

Descrizione: i contenitori in esecuzione nei cluster Kubernetes devono essere limitati solo ai profili AppArmor consentiti. ; AppArmor (Application Armor) è un modulo di sicurezza Linux che protegge un sistema operativo e le relative applicazioni dalle minacce alla sicurezza. Per usarlo, un amministratore di sistema associa un profilo di sicurezza di AppArmor a ogni programma. (Criterio correlato: I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti.

Gravità: alta

Tipo: piano dati Kubernetes

Per i contenitori deve essere imposto il file system radice non modificabile (di sola lettura)

Descrizione: i contenitori devono essere eseguiti con un file system radice di sola lettura nel cluster Kubernetes. Il file system non modificabile protegge i contenitori dalle modifiche in fase di esecuzione con aggiunta di file binari dannosi a PATH. (Criterio correlato: I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura.

Gravità: medio

Tipo: piano dati Kubernetes

I cluster Kubernetes devono essere accessibili solo tramite HTTPS

Descrizione: l'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e Kubernetes abilitato per Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc (Criterio correlato: Applicare l'ingresso HTTPS nel cluster Kubernetes).

Gravità: alta

Tipo: Piano dati Kubernetes

Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato

Descrizione: disabilitare il montaggio automatico delle credenziali api per impedire a una risorsa pod potenzialmente compromessa di eseguire comandi API nei cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Criterio correlato: I cluster Kubernetes devono disabilitare il montaggio automatico delle credenziali api.

Gravità: alta

Tipo: Piano dati Kubernetes

I cluster Kubernetes non devono concedere funzionalità di sicurezza C piattaforma di strumenti analitici YSADMIN

Descrizione: per ridurre la superficie di attacco dei contenitori, limitare CAP_SYS_ADMIN funzionalità linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Nessun criterio correlato)

Gravità: alta

Tipo: piano dati Kubernetes

I cluster Kubernetes non devono usare lo spazio dei nomi predefinito

Descrizione: impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere da accessi non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. (Criterio correlato: I cluster Kubernetes non devono usare lo spazio dei nomi predefinito.

Gravità: Bassa

Tipo: piano dati Kubernetes

Per i contenitori devono essere imposte le funzionalità Linux con privilegi minimi

Descrizione: per ridurre la superficie di attacco del contenitore, limitare le funzionalità di Linux e concedere privilegi specifici ai contenitori senza concedere tutti i privilegi dell'utente radice. È consigliabile eliminare tutte le funzionalità, quindi aggiungere quelle necessarie (criterio correlato: i contenitori del cluster Kubernetes devono usare solo le funzionalità consentite).

Gravità: medio

Tipo: piano dati Kubernetes

I contenitori con privilegi devono essere evitati

Descrizione: per impedire l'accesso senza restrizioni agli host, evitare i contenitori con privilegi quando possibile.

I contenitori con privilegi hanno tutte le funzionalità radice di un computer host. Possono essere usati come punti di ingresso per gli attacchi e per diffondere codice dannoso o malware in applicazioni compromesse, host e reti. (Criterio correlato: Non consentire contenitori con privilegi nel cluster Kubernetes.

Gravità: medio

Tipo: piano dati Kubernetes

È consigliabile evitare l'esecuzione di contenitori come utente radice

Descrizione: i contenitori non devono essere eseguiti come utenti radice nel cluster Kubernetes. L'esecuzione di un processo come utente radice in un contenitore lo esegue come radice nell'host. In caso di compromissione, un utente malintenzionato ha la radice nel contenitore e eventuali configurazioni errate diventano più facili da sfruttare. (Criterio correlato: I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati.

Gravità: alta

Tipo: Piano dati Kubernetes

I servizi devono essere in ascolto solo sulle porte consentite

Descrizione: per ridurre la superficie di attacco del cluster Kubernetes, limitare l'accesso al cluster limitando l'accesso ai servizi alle porte configurate. (Criterio correlato: Assicurarsi che i servizi siano in ascolto solo sulle porte consentite nel cluster Kubernetes.

Gravità: medio

Tipo: piano dati Kubernetes

L'utilizzo della rete host e delle porte deve essere limitato

Descrizione: limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentite in un cluster Kubernetes. I pod creati con l'attributo hostNetwork abilitato condivideranno lo spazio di rete del nodo. Per evitare che un contenitore compromesso analizzi il traffico di rete, è consigliabile non inserire i pod nella rete host. Se è necessario esporre una porta contenitore nella rete del nodo e l'uso di una porta del nodo del servizio Kubernetes non soddisfa le proprie esigenze, un'altra possibilità consiste nel specificare un hostPort per il contenitore nella specifica del pod. (Criterio correlato: i pod del cluster Kubernetes devono usare solo la rete host approvata e l'intervallo di porte).

Gravità: medio

Tipo: piano dati Kubernetes

L'utilizzo dei montaggi di volumi HostPath dei pod deve essere limitato a un elenco noto per limitare l'accesso ai nodi da contenitori compromessi

Descrizione: è consigliabile limitare i montaggi di volumi HostPath dei pod nel cluster Kubernetes ai percorsi host consentiti configurati. In caso di compromissione, l'accesso al nodo del contenitore dai contenitori deve essere limitato. (Criterio correlato: I volumi hostPath del cluster Kubernetes devono usare solo i percorsi host consentiti.

Gravità: medio

Tipo: Piano dati Kubernetes

Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Qualys)

Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle immagini Registro Azure Container).

Gravità: alta

Tipo: Valutazione della vulnerabilità

Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender)

Importante

Questa raccomandazione si basa su un percorso di ritiro. È in corso la sostituzione delle immagini del contenitore [[Anteprima] Nelle immagini del contenitore nel Registro di sistema di Azure devono essere risolti i risultati della vulnerabilità](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle immagini Registro Azure Container).

Gravità: alta

Tipo: Valutazione della vulnerabilità

Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender)

Importante

Questa raccomandazione si basa su un percorso di ritiro. I contenitori in esecuzione in Azure devono essere sostituiti dalla raccomandazione [[Anteprima] in cui i risultati della vulnerabilità devono essere risolti](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Descrizione: la valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori.

Gravità: alta

Tipo: Valutazione della vulnerabilità

Raccomandazioni per i dati

(Abilita se necessario) Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/cosmosdb-cmk. (Criterio correlato: Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi.

Gravità: Bassa

(Abilita se necessario) Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Gestire la crittografia dei dati inattivi delle aree di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/azureml-workspaces-cmk. (Criterio correlato: Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente (CMK).

Gravità: Bassa

(Abilita se necessario) Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Le chiavi gestite dal cliente sono in genere richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/cosmosdb-cmk. (Criterio correlato: Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente? (CMK))

Gravità: Bassa

(Abilita se necessario) I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. (Criterio correlato: La protezione dei dati bring your own key deve essere abilitata per i server MySQL.

Gravità: Bassa

(Abilita se necessario) I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. (Criterio correlato: La protezione dei dati Bring Your Own Key deve essere abilitata per i server PostgreSQL.

Gravità: Bassa

(Abilita se necessario) Le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. (Criterio correlato: Le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi.

Gravità: Bassa

(Abilita se necessario) I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. (Criterio correlato: I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi.

Gravità: Bassa

(Abilita se necessario) Archiviazione gli account devono usare la chiave gestita dal cliente (CMK) per la crittografia

Descrizione: Consigli per usare chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare per gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. È possibile proteggere l'account di archiviazione con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o per cancellare i dati tramite crittografia. (Criterio correlato: Archiviazione gli account devono usare la chiave gestita dal cliente (CMK) per la crittografia.

Gravità: Bassa

Tutti i tipi di protezione avanzata dalle minacce devono essere abilitati nelle impostazioni di sicurezza dei dati avanzate dell'istanza gestita di SQL

Descrizione: è consigliabile abilitare tutti i tipi di protezione avanzata dalle minacce nelle istanze gestite di SQL. L'abilitazione di tutti i tipi abilita la protezione da attacchi SQL injection, vulnerabilità del database e qualsiasi altra attività anomala. (Nessun criterio correlato)

Gravità: medio

Tutti i tipi di protezione avanzata dalle minacce devono essere abilitati nelle impostazioni di sicurezza dei dati avanzate di SQL Server

Descrizione: è consigliabile abilitare tutti i tipi di protezione avanzata dalle minacce nei server SQL. L'abilitazione di tutti i tipi abilita la protezione da attacchi SQL injection, vulnerabilità del database e qualsiasi altra attività anomala. (Nessun criterio correlato)

Gravità: medio

I servizi di gestione API devono usare una rete virtuale

Descrizione: la distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway API possono essere configurati in modo che siano accessibili da Internet o solo nell’ambito della rete virtuale. (Criterio correlato: Gestione API servizi devono usare una rete virtuale.

Gravità: medio

Configurazione app deve usare un collegamento privato

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. (Criterio correlato: Configurazione app deve usare un collegamento privato).

Gravità: medio

La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni

Descrizione: controllare i server SQL configurati con un periodo di conservazione di controllo inferiore a 90 giorni. (Criterio correlato: I server SQL devono essere configurati con conservazione del controllo di 90 giorni o versione successiva.

Gravità: Bassa

È consigliabile abilitare il controllo in SQL Server

Descrizione: abilitare il controllo in SQL Server per tenere traccia delle attività del database in tutti i database nel server e salvarle in un log di controllo. (Criterio correlato: Il controllo in SQL Server deve essere abilitato.

Gravità: Bassa

Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nelle sottoscrizioni

Descrizione: per monitorare le vulnerabilità e le minacce per la sicurezza, Microsoft Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. (Criterio correlato: Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione.

Gravità: Bassa

La cache di Azure per Redis deve risiedere all'interno di una rete virtuale

Descrizione: la distribuzione di Azure Rete virtuale (VNet) offre sicurezza e isolamento avanzati per le cache di Azure per Redis, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un'istanza di Cache Redis di Azure viene configurata con una rete virtuale, non è indirizzabile pubblicamente ed è accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. (Criterio correlato: cache di Azure per Redis deve trovarsi all'interno di una rete virtuale.

Gravità: medio

Database di Azure per MySQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning

Descrizione: effettuare il provisioning di un amministratore di Azure AD per l'Database di Azure per MySQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft (criterio correlato: è necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server MySQL).

Gravità: medio

Database di Azure per PostgreSQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning

Descrizione: effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per PostgreSQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft
(Criterio correlato: È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server PostgreSQL.

Gravità: medio

Per gli account di Azure Cosmos DB devono essere definite regole del firewall

Descrizione: le regole del firewall devono essere definite sugli account Azure Cosmos DB per impedire il traffico da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. (Criterio correlato: Gli account Azure Cosmos DB devono avere regole del firewall.

Gravità: medio

I domini di Griglia di eventi di Azure devono usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai domini di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. (Criterio correlato: Griglia di eventi di Azure domini devono usare un collegamento privato).

Gravità: medio

Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli argomenti anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. (Criterio correlato: Griglia di eventi di Azure argomenti devono usare un collegamento privato).

Gravità: medio

Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole aree di lavoro di Azure Machine Learning anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azureml-workspaces-privatelink. (Criterio correlato: Le aree di lavoro di Azure Machine Learning devono usare un collegamento privato.

Gravità: medio

Il servizio Azure SignalR deve usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle risorse SignalR anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. (Criterio correlato: Servizio Azure SignalR deve usare un collegamento privato).

Gravità: medio

Azure Spring Cloud deve usare l'aggiunta alla rete

Descrizione: Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. (Criterio correlato: Azure Spring Cloud deve usare l'inserimento di rete.

Gravità: medio

Per i server SQL deve essere stato effettuato il provisioning di un amministratore di Azure Active Directory

Descrizione: effettuare il provisioning di un amministratore di Azure AD per il server SQL per abilitare l'autenticazione di Azure AD. Questo tipo di autenticazione consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità degli utenti di database e di altri servizi Microsoft. (Criterio correlato: È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL.

Gravità: alta

La modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere solo Azure Active Directory

Descrizione: la modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere Solo Azure Active Directory solo i metodi di autenticazione di Azure Active Directory migliora la sicurezza assicurando che le aree di lavoro di Synapse richiedano esclusivamente identità di Azure AD per l'autenticazione. Altre informazioni. (Criterio correlato: Le aree di lavoro di Synapse devono usare solo le identità di Azure Active Directory per l'autenticazione.

Gravità: medio

Per gli account Servizi cognitivi è necessario abilitare la crittografia dei dati

Descrizione: questo criterio controlla qualsiasi account di Servizi cognitivi che non usa la crittografia dei dati. Per ogni account Servizi cognitivi con spazio di archiviazione, è necessario abilitare la crittografia dei dati con una chiave gestita dal cliente o da Microsoft. (Criterio correlato: Gli account di Servizi cognitivi devono abilitare la crittografia dei dati.

Gravità: Bassa

Gli account di Servizi cognitivi devono usare l'archiviazione di proprietà del cliente o abilitare la crittografia dei dati

Descrizione: questo criterio controlla qualsiasi account di Servizi cognitivi che non usa l'archiviazione di proprietà del cliente né la crittografia dei dati. Per ogni account Servizi cognitivi con risorse di archiviazione, usare lo spazio di archiviazione di proprietà del cliente o abilitare la crittografia dei dati. (Criterio correlato: Gli account di Servizi cognitivi devono usare l'archiviazione di proprietà del cliente o abilitare la crittografia dei dati.

Gravità: Bassa

È consigliabile abilitare i log di diagnostica in Azure Data Lake Store

Gravità: Bassa

È consigliabile abilitare i log di diagnostica Data Lake Analytics

Gravità: Bassa

È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta

Descrizione: per assicurarsi che gli utenti pertinenti dell'organizzazione vengano informati quando si verifica una potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare le notifiche tramite posta elettronica per gli avvisi con gravità elevata in Defender per il cloud. (Criterio correlato: È consigliabile abilitare la notifica tramite posta elettronica per gli avvisi con gravità elevata.

Gravità: Bassa

È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta

Descrizione: per assicurarsi che i proprietari delle sottoscrizioni vengano informati quando si verifica una potenziale violazione della sicurezza nella sottoscrizione, impostare notifiche tramite posta elettronica ai proprietari delle sottoscrizioni per avvisi con gravità elevata in Defender per il cloud. (Criterio correlato: È necessario abilitare la notifica tramite posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità elevata.

Gravità: medio

Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL

Descrizione: Database di Azure per MySQL supporta la connessione del server Database di Azure per MySQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. (Criterio correlato: Applicare la connessione SSL deve essere abilitata per i server di database MySQL.

Gravità: medio

Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL

Descrizione: Database di Azure per PostgreSQL supporta la connessione del server Database di Azure per PostgreSQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. (Criterio correlato: Applicare la connessione SSL deve essere abilitata per i server di database PostgreSQL.

Gravità: medio

Le app per le funzioni devono avere i risultati della vulnerabilità risolti

Descrizione: l'analisi delle vulnerabilità di runtime per le funzioni analizza le app per le funzioni per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza delle applicazioni serverless e proteggerle dagli attacchi. (Nessun criterio correlato)

Gravità: alta

Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB

Descrizione: Database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB).

Gravità: Bassa

Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL

Descrizione: Database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MySQL).

Gravità: Bassa

Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL

Descrizione: Database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL).

Gravità: Bassa

Nei repository GitHub deve essere abilitata l'analisi del codice

Descrizione: GitHub usa l'analisi del codice per analizzare il codice per trovare vulnerabilità ed errori di sicurezza nel codice. L'analisi del codice può essere usata per trovare, valutare e classificare in ordine di priorità le correzioni per i problemi esistenti nel codice. L'analisi del codice può anche impedire agli sviluppatori di introdurre nuovi problemi. Le analisi possono essere pianificate per giorni e ore specifiche oppure le analisi possono essere attivate quando si verifica un evento specifico nel repository, ad esempio un push. Se l'analisi del codice rileva una potenziale vulnerabilità o un errore nel codice, GitHub visualizza un avviso nel repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto. (Nessun criterio correlato)

Gravità: medio

Per i repository GitHub deve essere abilitata l'analisi Dependabot

Descrizione: GitHub invia avvisi Dependabot quando rileva le vulnerabilità nelle dipendenze del codice che interessano i repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto o di altri progetti che usano il codice. Le vulnerabilità variano in base al tipo, alla gravità e al metodo di attacco. Quando il codice dipende da un pacchetto che presenta una vulnerabilità di sicurezza, questa dipendenza vulnerabile può causare una serie di problemi. (Nessun criterio correlato)

Gravità: medio

Nei repository GitHub deve essere abilitata l'analisi dei segreti

Descrizione: GitHub analizza i repository per i tipi noti di segreti, per evitare l'uso fraudolento dei segreti di cui è stato accidentalmente eseguito il commit nei repository. L'analisi dei segreti analizzerà l'intera cronologia Git in tutti i rami presenti nel repository GitHub per individuare eventuali segreti. Esempi di segreti sono token e chiavi private che un provider di servizi può emettere per l'autenticazione. Se un segreto viene archiviato in un repository, chiunque abbia accesso in lettura al repository può usare il segreto per accedere al servizio esterno con tali privilegi. I segreti devono essere archiviati in una posizione sicura dedicata all'esterno del repository per il progetto. (Nessun criterio correlato)

Gravità: alta

È necessario abilitare Microsoft Defender per i server database SQL di Azure

Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Include funzionalità per l'esposizione e la mitigazione di vulnerabilità potenziali dei database, il rilevamento di attività anomale che potrebbero indicare una minaccia al database e l'individuazione e la classificazione di dati sensibili. Importante: le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di server database SQL di Azure in questa sottoscrizione, non verrà addebitato alcun costo. Se in un secondo momento si creano server database SQL di Azure in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area. Per altre informazioni, vedere Introduzione a Microsoft Defender per SQL. (Criterio correlato: È necessario abilitare Azure Defender per i server database SQL di Azure).

Gravità: alta

Microsoft Defender per DNS deve essere abilitato

Descrizione: Microsoft Defender per DNS offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Defender per DNS avvisa l'utente di attività sospette a livello DNS. Per altre informazioni, vedere Introduzione a Microsoft Defender per DNS. L'abilitazione di questo piano defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi di Defender per il cloud: prezzi Defender per il cloud. (Nessun criterio correlato)

Gravità: alta

È necessario abilitare Microsoft Defender per database relazionali open source

Descrizione: Microsoft Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni, vedere Introduzione a Microsoft Defender per database relazionali open source.

Importante: l'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Se in questa sottoscrizione non sono presenti database relazionali open source, non verranno addebitati addebiti. Se si creano database relazionali open source in questa sottoscrizione in futuro, questi verranno protetti automaticamente e gli addebiti inizieranno in quel momento. (Nessun criterio correlato)

Gravità: alta

Microsoft Defender per Resource Manager deve essere abilitato

Descrizione: Microsoft Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Defender per il cloud rileva minacce e avvisi sull'attività sospetta. Per altre informazioni, vedere Introduzione a Microsoft Defender per Resource Manager. L'abilitazione di questo piano defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi di Defender per il cloud: prezzi Defender per il cloud. (Nessun criterio correlato)

Gravità: alta

Microsoft Defender per SQL nei computer deve essere abilitato nelle aree di lavoro

Gravità: medio

È necessario abilitare Microsoft Defender per i server SQL nei computer

Importante: la correzione di questa raccomandazione comporterà addebiti per la protezione dei server SQL nei computer. Se nella sottoscrizione non sono presenti server SQL nei computer, non verranno applicati addebiti. Se in futuro si creano server SQL nei computer nella sottoscrizione, tali server saranno protetti automaticamente e l'applicazione degli addebiti avrà inizio in tale momento. Altre informazioni su Microsoft Defender per i server SQL nei computer. (Criterio correlato: È necessario abilitare Azure Defender per i server SQL nei computer.

Gravità: alta

Microsoft Defender per SQL deve essere abilitato per i server SQL di Azure non protetti

Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Rileva e attenua potenziali vulnerabilità dei database e rileva di attività anomale che potrebbero indicare una minaccia per il database. Microsoft Defender per SQL viene fatturato come illustrato nei dettagli dei prezzi per area. (Criterio correlato: La sicurezza dei dati avanzata deve essere abilitata nei server SQL.

Gravità: alta

Microsoft Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette

Gravità: alta

Microsoft Defender per Archiviazione deve essere abilitato

Descrizione: Microsoft Defender per l'archiviazione rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. Importante: le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di account Archiviazione di Azure in questa sottoscrizione, non verrà addebitato alcun costo. Se in un secondo momento si creano account Archiviazione di Azure in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area. Per altre informazioni, vedere Introduzione a Microsoft Defender per Archiviazione. (Criterio correlato: Azure Defender per Archiviazione deve essere abilitato).

Gravità: alta

È consigliabile abilitare Network Watcher

Descrizione: Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, da e verso Azure. Il monitoraggio a livello di scenario consente di diagnosticare i problemi in una visualizzazione a livello di rete end-to-end. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure. (Criterio correlato: Network Watcher deve essere abilitato.

Gravità: Bassa

Le identità con provisioning eccessivo nelle sottoscrizioni devono essere analizzate per ridurre l'indice di tipo Permission Creep (PCI)

Descrizione: le identità con provisioning eccessivo nella sottoscrizione devono essere analizzate per ridurre l'indice pci (Permission Creep Index) e per proteggere l'infrastruttura. Ridurre pci rimuovendo le assegnazioni di autorizzazioni ad alto rischio inutilizzate. Pci elevato riflette il rischio associato alle identità con autorizzazioni che superano il normale o obbligatorio utilizzo (nessun criterio correlato).

Gravità: medio

Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate

Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a database SQL di Azure. (Criterio correlato: Le connessioni endpoint private in database SQL di Azure devono essere abilitate).

Gravità: medio

L'endpoint privato deve essere abilitato per i server MariaDB

Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server MariaDB.

Gravità: medio

L'endpoint privato deve essere abilitato per i server MySQL

Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server MySQL.

Gravità: medio

L'endpoint privato deve essere abilitato per i server PostgreSQL

Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server PostgreSQL.

Gravità: medio

L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato

Descrizione: la disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica in database SQL di Azure deve essere disabilitato).

Gravità: medio

L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB

Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MariaDB sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB.

Gravità: medio

L'accesso alla rete pubblica deve essere disabilitato per i server MySQL

Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MySQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server MySQL.

Gravità: medio

L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL

Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per PostgreSQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL.

Gravità: medio

Cache Redis deve consentire l'accesso solo tramite SSL

Descrizione: abilitare solo le connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione. (Criterio correlato: È necessario abilitare solo le connessioni sicure al cache di Azure per Redis).

Gravità: alta

I risultati delle vulnerabilità devono essere risolti nei database SQL

Descrizione: la valutazione della vulnerabilità SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. Altre informazioni (criterio correlato: è consigliabile correggere le vulnerabilità nei database SQL).

Gravità: alta

Le istanze gestite di SQL devono avere una valutazione della vulnerabilità configurata

Descrizione: la valutazione della vulnerabilità può individuare, tenere traccia e risolvere potenziali vulnerabilità del database. (Criterio correlato: La valutazione della vulnerabilità deve essere abilitata in Istanza gestita di SQL).

Gravità: alta

I risultati delle vulnerabilità devono essere risolti nei server SQL

Gravità: alta

Per i server SQL deve essere stato effettuato il provisioning di un amministratore di Azure Active Directory

Gravità: alta

Per i server SQL deve essere configurata la valutazione della vulnerabilità

Gravità: alta

L'account di archiviazione deve usare una connessione collegamento privato

Descrizione: i collegamenti privati applicano la comunicazione sicura, fornendo connettività privata all'account di archiviazione (criterio correlato: Archiviazione account deve usare una connessione di collegamento privato).

Gravità: medio

È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager

Descrizione: per trarre vantaggio dalle nuove funzionalità di Azure Resource Manager, è possibile eseguire la migrazione delle distribuzioni esistenti dal modello di distribuzione classica. Resource Manager consente miglioramenti alla sicurezza, ad esempio: controllo degli accessi in base al ruolo più forte, controllo migliore, distribuzione e governance basata su ARM, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per segreti, autenticazione basata su Azure AD e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza. Altre informazioni (criterio correlato: è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager).

Gravità: Bassa

Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale

Descrizione: proteggere gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. (Criterio correlato: Archiviazione gli account devono limitare l'accesso alla rete usando le regole di rete virtuale.

Gravità: medio

Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza

Descrizione: per assicurarsi che le persone pertinenti dell'organizzazione ricevano una notifica quando si verifica una potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per ricevere notifiche tramite posta elettronica da Defender per il cloud. (Criterio correlato: Le sottoscrizioni devono avere un indirizzo di posta elettronica di contatto per i problemi di sicurezza)

Gravità: Bassa

È consigliabile abilitare Transparent Data Encryption nei database SQL

Descrizione: abilitare Transparent Data Encryption per proteggere i dati inattivi e soddisfare i requisiti di conformità (criterio correlato: Transparent Data Encryption nei database SQL deve essere abilitato).

Gravità: Bassa

I modelli di Image Builder per macchine virtuali devono usare un collegamento privato

Descrizione: controllare i modelli di Image Builder della macchina virtuale che non dispongono di una rete virtuale configurata. Quando una rete virtuale non è configurata, viene creato e usato un indirizzo IP pubblico, che potrebbe esporre direttamente le risorse a Internet e aumentare la potenziale superficie di attacco. (Criterio correlato: I modelli di Image Builder della macchina virtuale devono usare un collegamento privato.

Gravità: medio

Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione

Descrizione: distribuire Web application firewall (WAF) di Azure davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È anche possibile limitare l'accesso alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP(s) tramite regole personalizzate. (Criterio correlato: Web Application Firewall (WAF) deve essere abilitato per gateway applicazione).

Gravità: Bassa

Web Application Firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure

Gravità: Bassa

I Servizi cognitivi devono usare collegamenti privati

Descrizione: collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. Altre informazioni sui collegamenti privati. (Criterio correlato: Servizi cognitivi deve usare un collegamento privato.

Gravità: medio

Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica

Descrizione: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account Cosmos DB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account Cosmos DB. Altre informazioni. (Criterio correlato: Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica.

Gravità: medio

Gli account Cosmos DB devono usare un collegamento privato

Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account Cosmos DB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati. (Criterio correlato: Gli account Cosmos DB devono usare un collegamento privato.

Gravità: medio

Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva

Descrizione: l'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. (Criterio correlato: database SQL di Azure deve eseguire TLS versione 1.2 o successiva.

Gravità: medio

Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica

Descrizione: la disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) nelle Istanza gestita di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Altre informazioni sull'accesso alla rete pubblica. (Criterio correlato: Istanza gestita di SQL di Azure devono disabilitare l'accesso alla rete pubblica).

Gravità: medio

Archiviazione gli account devono impedire l'accesso con chiave condivisa

Descrizione: requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. (Criterio correlato: criteri)

Gravità: medio

Raccomandazioni relative a identità e accesso

È necessario designare un massimo di 3 proprietari per le sottoscrizioni

Descrizione: per ridurre il rischio di violazioni da parte di account proprietari compromessi, è consigliabile limitare il numero di account proprietario a un massimo di 3 (criterio correlato: un massimo di 3 proprietari deve essere designato per la sottoscrizione).

Gravità: alta

Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori

Descrizione: se si usano solo le password per autenticare gli utenti, si lascia aperto un vettore di attacco. Gli utenti usano spesso password deboli per più servizi. Abilitando l'autenticazione a più fattori (MFA), si offre una maggiore sicurezza per gli account, consentendo comunque agli utenti di eseguire l'autenticazione a quasi tutte le applicazioni con Single Sign-On (SSO). L'autenticazione a più fattori è un processo in base al quale gli utenti vengono richiesti, durante il processo di accesso, per un'altra forma di identificazione. Ad esempio, un codice potrebbe essere inviato al cellulare o potrebbe essere richiesto un'analisi delle impronte digitali. È consigliabile abilitare l'autenticazione a più fattori per tutti gli account con autorizzazioni di proprietario per le risorse di Azure, per evitare violazioni e attacchi. Altre informazioni e domande frequenti sono disponibili qui: Gestire l'imposizione dell'autenticazione a più fattori (MFA) nelle sottoscrizioni (nessun criterio correlato).

Gravità: alta

Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori

Descrizione: se si usano solo le password per autenticare gli utenti, si lascia aperto un vettore di attacco. Gli utenti usano spesso password deboli per più servizi. Abilitando l'autenticazione a più fattori (MFA), si offre una maggiore sicurezza per gli account, consentendo comunque agli utenti di eseguire l'autenticazione a quasi tutte le applicazioni con Single Sign-On (SSO). L'autenticazione a più fattori è un processo in base al quale gli utenti vengono richiesti, durante il processo di accesso, per una forma aggiuntiva di identificazione. Ad esempio, un codice potrebbe essere inviato al cellulare o potrebbe essere richiesto un'analisi delle impronte digitali. È consigliabile abilitare l'autenticazione a più fattori per tutti gli account con autorizzazioni di lettura per le risorse di Azure, per evitare violazioni e attacchi. Altre informazioni e domande frequenti sono disponibili qui. (Nessun criterio correlato)

Gravità: alta

Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA

Descrizione: se si usano solo le password per autenticare gli utenti, si lascia aperto un vettore di attacco. Gli utenti usano spesso password deboli per più servizi. Abilitando l'autenticazione a più fattori (MFA), si offre una maggiore sicurezza per gli account, consentendo comunque agli utenti di eseguire l'autenticazione a quasi tutte le applicazioni con Single Sign-On (SSO). L'autenticazione a più fattori è un processo in base al quale gli utenti vengono richiesti, durante il processo di accesso, per una forma aggiuntiva di identificazione. Ad esempio, un codice potrebbe essere inviato al cellulare o potrebbe essere richiesto un'analisi delle impronte digitali. È consigliabile abilitare l'autenticazione a più fattori per tutti gli account con autorizzazioni di scrittura per le risorse di Azure, per evitare violazioni e attacchi. Altre informazioni e domande frequenti sono disponibili qui: Gestire l'imposizione dell'autenticazione a più fattori (MFA) nelle sottoscrizioni (nessun criterio correlato).

Gravità: alta

Gli account Azure Cosmos DB devono usare Azure Active Directory come unico metodo di autenticazione

Descrizione: il modo migliore per eseguire l'autenticazione ai servizi di Azure consiste nell'usare il controllo degli Controllo di accesso accessi in base al ruolo (RBAC). Il controllo degli accessi in base al ruolo consente di mantenere il principio dei privilegi minimi e supporta la possibilità di revocare le autorizzazioni come metodo efficace di risposta in caso di compromissione. È possibile configurare l'account Azure Cosmos DB per applicare il controllo degli accessi in base al ruolo come unico metodo di autenticazione. Quando l'imposizione è configurata, tutti gli altri metodi di accesso verranno negati (chiavi primarie/secondarie e token di accesso). (Nessun criterio correlato)

Gravità: medio

Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi

Descrizione: gli account che sono stati bloccati per l'accesso in Active Directory devono essere rimossi dalle risorse di Azure. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)

Gravità: alta

Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi

Gravità: alta

Gli account deprecati devono essere rimossi dalle sottoscrizioni

Descrizione: gli account utente che sono stati bloccati per l'accesso devono essere rimossi dalle sottoscrizioni. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account deprecati devono essere rimossi dalla sottoscrizione.

Gravità: alta

Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni

Gravità: alta

I log di diagnostica in Key Vault devono essere abilitati

Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: È necessario abilitare i log di diagnostica in Key Vault).

Gravità: Bassa

Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni

Descrizione: gli account con autorizzazioni di proprietario con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione.

Gravità: alta

Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni

Descrizione: gli account con autorizzazioni di lettura con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione.

Gravità: alta

Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni

Descrizione: gli account con autorizzazioni di scrittura con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalla sottoscrizione.

Gravità: alta

Il firewall deve essere abilitato in Key Vault

Descrizione: il firewall dell'insieme di credenziali delle chiavi impedisce al traffico non autorizzato di raggiungere l'insieme di credenziali delle chiavi e offre un ulteriore livello di protezione per i segreti. Abilitare il firewall per assicurarsi che solo il traffico dalle reti consentite possa accedere all'insieme di credenziali delle chiavi. (Criterio correlato: Il firewall deve essere abilitato nell'insieme di credenziali delle chiavi.

Gravità: medio

Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi

Descrizione: gli account con autorizzazioni di proprietario di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)

Gravità: alta

Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi

Descrizione: gli account con autorizzazioni di lettura di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)

Gravità: alta

Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi

Descrizione: gli account con autorizzazioni di scrittura di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)

Gravità: alta

Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza

Descrizione: le chiavi crittografiche devono avere una data di scadenza definita e non essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. È consigliabile impostare le date di scadenza per le chiavi crittografiche. (Criterio correlato: Le chiavi di Key Vault devono avere una data di scadenza.

Gravità: alta

I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza

Descrizione: i segreti devono avere una data di scadenza definita e non essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. È consigliabile impostare le date di scadenza per i segreti. (Criterio correlato: I segreti di Key Vault devono avere una data di scadenza.

Gravità: alta

Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva

Descrizione: l'eliminazione dannosa di un insieme di credenziali delle chiavi può causare una perdita permanente di dati. Un utente malintenzionato interno all'organizzazione può potenzialmente eliminare e rimuovere definitivamente gli insiemi di credenziali delle chiavi. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. (Criterio correlato: Gli insiemi di credenziali delle chiavi devono avere la protezione di ripulitura abilitata.

Gravità: medio

Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea

Descrizione: l'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. (Criterio correlato: Gli insiemi di credenziali delle chiavi devono avere l'eliminazione temporanea abilitata.

Gravità: alta

L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per le sottoscrizioni

Descrizione: l'autenticazione a più fattori (MFA) deve essere abilitata per tutti gli account di sottoscrizione con autorizzazioni di proprietario per impedire una violazione di account o risorse. (Criterio correlato: L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione.

Gravità: alta

L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per le sottoscrizioni

Descrizione: l'autenticazione a più fattori (MFA) deve essere abilitata per tutti gli account di sottoscrizione con privilegi di lettura per impedire una violazione di account o risorse. (Criterio correlato: L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione.

Gravità: alta

L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per le sottoscrizioni

Descrizione: l'autenticazione a più fattori (MFA) deve essere abilitata per tutti gli account di sottoscrizione con privilegi di scrittura per impedire una violazione di account o risorse. (Criterio correlato: L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per la sottoscrizione.

Gravità: alta

È necessario abilitare Microsoft Defender per Key Vault

Descrizione: Microsoft Defender per il cloud include Microsoft Defender per Key Vault, fornendo un ulteriore livello di intelligence per la sicurezza. Microsoft Defender per Key Vault rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di Key Vault. Importante: le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di insiemi di credenziali delle chiavi in questa sottoscrizione, non verrà addebitato alcun addebito. Se in un secondo momento si creano insiemi di credenziali delle chiavi in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area. Per altre informazioni, vedere Introduzione a Microsoft Defender per Key Vault. (Criterio correlato: Azure Defender per Key Vault deve essere abilitato.

Gravità: alta

L'endpoint privato deve essere configurato per Key Vault

Descrizione: il collegamento privato consente di connettere Key Vault alle risorse di Azure senza inviare traffico tramite Internet pubblico. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. (Criterio correlato: L'endpoint privato deve essere configurato per Key Vault.

Gravità: medio

L'accesso pubblico agli account di archiviazione non deve essere consentito

Descrizione: l'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. (Criterio correlato: Archiviazione'accesso pubblico dell'account non deve essere consentito).

Gravità: medio

Alle sottoscrizioni devono essere assegnati più di un proprietario

Descrizione: designare più di un proprietario della sottoscrizione per avere ridondanza dell'accesso amministratore. (Criterio correlato: Alla sottoscrizione devono essere assegnati più proprietari.

Gravità: alta

Il periodo di validità dei certificati archiviati in Azure Key Vault non deve superare i 12 mesi

Descrizione: assicurarsi che i certificati non abbiano un periodo di validità superiore a 12 mesi. (Criterio correlato: I certificati devono avere il periodo di validità massimo specificato.

Gravità: medio

Le identità con provisioning eccessivo di Azure devono avere solo le autorizzazioni necessarie (anteprima)

Descrizione: le identità con provisioning eccessivo o le identità con autorizzazioni non usano molte delle autorizzazioni concesse. Autorizzazioni di dimensioni regolari di queste identità per ridurre il rischio di uso improprio delle autorizzazioni, accidentali o dannose. Questa azione riduce il potenziale raggio di esplosione durante un evento imprevisto di sicurezza.

Gravità: medio

Le identità con privilegi avanzati nell'ambiente Azure devono essere rimosse (anteprima)

Descrizione: l'identità con privilegi avanzati è qualsiasi identità umana o del carico di lavoro, ad esempio utenti, entità servizio e funzioni serverless con autorizzazioni di amministratore e può eseguire qualsiasi azione su qualsiasi risorsa nell'infrastruttura. Le identità con privilegi avanzati sono estremamente rischiose, poiché qualsiasi uso improprio di autorizzazioni dannose o accidentali può causare interruzioni irreversibili del servizio, riduzione delle prestazioni del servizio o perdita di dati. Le super identità rappresentano una minaccia enorme per l'infrastruttura cloud. Troppi super identità possono creare rischi eccessivi e aumentare il raggio di esplosione durante una violazione.

Gravità: medio

Le identità inutilizzate nell'ambiente Azure devono essere rimosse (anteprima)

Descrizione: le identità inattive sono le identità che non hanno eseguito alcuna azione sulle risorse dell'infrastruttura negli ultimi 90 giorni. Le identità inattive rappresentano un rischio significativo per l'organizzazione perché potrebbero essere usate dagli utenti malintenzionati per ottenere l'accesso ed eseguire attività nell'ambiente.

Gravità: medio

Raccomandazioni per IoT

I criteri di filtro IP predefiniti devono essere Nega

Descrizione: La configurazione del filtro IP deve avere regole definite per il traffico consentito e deve negare tutto l'altro traffico per impostazione predefinita (nessun criterio correlato).

Gravità: medio

È consigliabile abilitare i log di diagnostica nell'hub IoT

Gravità: Bassa

Credenziali di autenticazione identiche

Descrizione: credenziali di autenticazione identiche alle hub IoT usate da più dispositivi. Questo potrebbe indicare un dispositivo non legittimo che rappresenta un dispositivo legittimo. Espone anche il rischio di rappresentazione del dispositivo da parte di un utente malintenzionato (nessun criterio correlato).

Gravità: alta

Regola filtro IP di grandi dimensioni

Descrizione: l'intervallo ip di origine di una regola di filtro IP consentito è troppo grande. Le regole eccessivamente permissive potrebbero esporre l'hub IoT a intender dannosi (nessun criterio correlato).

Gravità: medio

Raccomandazioni di rete

L'accesso agli account di archiviazione con configurazioni del firewall e di rete virtuale deve essere limitato

Descrizione: esaminare le impostazioni di accesso alla rete nelle impostazioni del firewall dell'account di archiviazione. È consigliabile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere all'account di archiviazione. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici. (Criterio correlato: Archiviazione account devono limitare l'accesso alla rete).

Gravità: Bassa

Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet

Descrizione: Defender per il cloud ha analizzato i modelli di comunicazione del traffico Internet delle macchine virtuali elencate di seguito e ha determinato che le regole esistenti nei gruppi di sicurezza di rete associate sono eccessivamente permissive, causando un aumento della superficie di attacco potenziale. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud. Per altre informazioni, vedere Migliorare il comportamento di sicurezza di rete con protezione avanzata adattiva della rete. (Criterio correlato: Le raccomandazioni per la protezione avanzata adattiva della rete devono essere applicate alle macchine virtuali con connessione Internet.

Gravità: alta

È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale

Descrizione: Defender per il cloud ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. (Criterio correlato: Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale.

Gravità: alta

La protezione DDoS di Azure Standard deve essere abilitata

Descrizione: Defender per il cloud ha individuato reti virtuali con risorse gateway applicazione non protette dal servizio protezione DDoS. Queste risorse contengono IP pubblici. Abilitare la mitigazione degli attacchi volumetrici e ai protocolli della rete. (Criterio correlato: È consigliabile abilitare Protezione DDoS Standard di Azure.

Gravità: medio

Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete

Descrizione: proteggere la macchina virtuale da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your VM from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete includono un elenco di regole di elenco di controllo di accesso che consentono o negano il traffico di rete verso la VM da altre istanze nella stessa subnet o all'esterno della subnet. Per mantenere il computer il più sicuro possibile, è necessario limitare l'accesso alla macchina virtuale a Internet e abilitare un gruppo di sicurezza di rete nella subnet. Le macchine virtuali con gravità "Elevata" sono macchine virtuali con connessione Internet. (Criterio correlato: Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete.

Gravità: alta

L'inoltro IP nella macchina virtuale deve essere disabilitato

Descrizione: Defender per il cloud ha rilevato che l'inoltro IP è abilitato in alcune delle macchine virtuali. L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. (Criterio correlato: L'inoltro IP nella macchina virtuale deve essere disabilitato.

Gravità: medio

I computer devono avere porte chiuse che potrebbero esporre vettori di attacco

Descrizione: le condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Questa raccomandazione elenca le porte esposte che devono essere chiuse per la sicurezza continua. Illustra anche la potenziale minaccia per ogni porta. (Nessun criterio correlato)

Gravità: alta

Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT

Gravità: alta

È consigliabile chiudere le porte di gestione nelle macchine virtuali

Descrizione: le porte di gestione remota aperte espongono la macchina virtuale a un alto livello di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. (Criterio correlato: Le porte di gestione devono essere chiuse nelle macchine virtuali.

Gravità: medio

Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete

Descrizione: proteggere la macchina virtuale non con connessione Internet da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your non-Internet-facing virtual machine from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete includono un elenco di regole di elenco di controllo di accesso che consentono o negano il traffico di rete verso la VM da altre istanze nella stessa subnet o all'esterno della subnet. Si noti che per assicurare la protezione massima per il computer è necessario che l'accesso della VM a Internet sia limitato e che un gruppo di sicurezza di rete venga abilitato anche sulla subnet. (Criterio correlato: Le macchine virtuali non con connessione Internet devono essere protette con i gruppi di sicurezza di rete.

Gravità: Bassa

È consigliabile abilitare il trasferimento sicuro agli account di archiviazione

Descrizione: il trasferimento sicuro è un'opzione che forza l'account di archiviazione ad accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete come attacchi man in the middle, eavesdropping e hijack della sessione. (Criterio correlato: È necessario abilitare il trasferimento sicuro agli account di archiviazione.

Gravità: alta

Le subnet devono essere associate a un gruppo di sicurezza di rete

Descrizione: proteggere la subnet da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your subnet from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. Quando un gruppo di sicurezza di rete è associato a una subnet, le regole dell'elenco di controllo di accesso sono applicabili a tutte le istanze della VM e ai servizi integrati in tale subnet, ma non vengono applicate al traffico interno alla subnet. Per proteggere le risorse nella stessa subnet da un'altra subnet, abilitare direttamente il gruppo di sicurezza di rete anche sulle risorse. Si noti che i tipi di subnet seguenti verranno elencati come non applicabili: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Criterio correlato: Le subnet devono essere associate a un gruppo di sicurezza di rete.

Gravità: Bassa

È consigliabile che le reti virtuali siano protette da Firewall di Azure

Descrizione: alcune reti virtuali non sono protette con un firewall. Usare Firewall di Azure per limitare l'accesso alle reti virtuali e prevenire potenziali minacce. (Criterio correlato: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito).

Gravità: Bassa

Consigli per le API

È necessario abilitare Microsoft Defender per le API

Descrizione e criteri correlati: abilitare il piano defender per le API per individuare e proteggere le risorse API da attacchi e configurazioni errate della sicurezza. Ulteriori informazioni

Gravità: alta

Le API di Gestione API di Azure devono essere caricate in Defender per le API

Descrizione e criteri correlati: l'onboarding delle API in Defender per le API richiede l'utilizzo di calcolo e memoria nel servizio Azure Gestione API. Monitorare le prestazioni del servizio azure Gestione API durante l'onboarding delle API e aumentare le istanze delle risorse di Azure Gestione API in base alle esigenze.

Gravità: alta

Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio API Management di Azure

Descrizione e criteri correlati: come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Azure Gestione API. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Queste potrebbero essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più aggiornata.

Gravità: Bassa

Gli endpoint API in API Management di Azure devono essere autenticati

Descrizione e criteri correlati: gli endpoint API pubblicati in Azure Gestione API devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Azure Gestione API, questa raccomandazione valuta l'autenticazione verificando la presenza di chiavi di sottoscrizione di Azure Gestione API per LE API o i prodotti in cui è necessaria la sottoscrizione e l'esecuzione dei criteri per la convalida di token JWT, certificati client e token Microsoft Entra. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione.

Gravità: alta

Consigli di Gestione API

Le sottoscrizioni di API Management non devono essere con ambito per tutte le API

Descrizione e criterio correlato: Gestione API le sottoscrizioni devono essere incluse in un prodotto o in una singola API anziché in tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati.

Gravità: medio

Le chiamate di API Management ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato

Descrizione e criterio correlato: Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida dei nomi per migliorare la sicurezza dell'API.

Gravità: medio

API Management endpoint API Management diretto non deve essere abilitato

Descrizione e criteri correlati: l'API REST di gestione diretta in Azure Gestione API ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio.

Gravità: Bassa

Le API Management API devono usare solo protocolli crittografati

Descrizione e criterio correlato: le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS, per garantire la sicurezza dei dati in transito.

Gravità: alta

I valori denominati del segreto di API Management devono essere archiviati in Azure Key Vault

Descrizione e criterio correlato: i valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Fare riferimento ai valori denominati del segreto di Azure Key Vault per migliorare la sicurezza di Gestione API e segreti. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti.

Gravità: medio

API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio

Descrizione e criteri correlati: per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione degli accessi diretti, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted.

Gravità: medio

API Management versione API minima deve essere impostata su 2019-12-01 o versione successiva

Descrizione e criterio correlato: per impedire la condivisione dei segreti del servizio con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva.

Gravità: medio

API Management le chiamate ai back-end dell'API devono essere autenticate

Descrizione e criteri correlati: le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric.

Gravità: medio

Raccomandazioni per l'intelligenza artificiale

I log delle risorse nelle aree di lavoro di Azure Machine Learning devono essere abilitati (anteprima)

Descrizione e criteri correlati: i log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa.

Gravità: medio

Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica (anteprima)

Descrizione e criterio correlato: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere Configurare un endpoint privato per un'area di lavoro di Azure Machine Learning.

Gravità: medio

I calcoli di Azure Machine Learning devono trovarsi in una rete virtuale (anteprima)

Descrizione e criteri correlati: i Rete virtuale di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale.

Gravità: medio

I calcoli di Azure Machine Learning devono avere metodi di autenticazione locali disabilitati (anteprima)

Descrizione e criteri correlati: la disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i calcoli di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere Criteri di Azure controlli di conformità alle normative per Azure Machine Learning.

Gravità: medio

Le istanze di calcolo di Azure Machine Learning devono essere ricreate per ottenere gli aggiornamenti software più recenti (anteprima)

Descrizione e criteri correlati: assicurarsi che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere Gestione delle vulnerabilità per Azure Machine Learning.

Gravità: medio

I log delle risorse nelle aree di lavoro di Azure Databricks devono essere abilitati (anteprima)

Gravità: medio

Le aree di lavoro di Azure Databricks devono disabilitare l'accesso alla rete pubblica (anteprima)

Descrizione e criterio correlato: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere Abilitare collegamento privato di Azure.

Gravità: medio

I cluster di Azure Databricks devono disabilitare l'indirizzo IP pubblico (anteprima)

Descrizione e criterio correlato: la disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti su Internet pubblico. Per altre informazioni, vedere Proteggere la connettività del cluster.

Gravità: medio

Le aree di lavoro di Azure Databricks devono trovarsi in una rete virtuale (anteprima)

Descrizione e criteri correlati: i Rete virtuale di Azure offrono sicurezza e isolamento avanzati per le aree di lavoro di Azure Databricks, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere Distribuire Azure Databricks nella rete virtuale di Azure.

Gravità: medio

Le aree di lavoro di Azure Databricks devono usare il collegamento privato (anteprima)

Descrizione e criterio correlato: collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere Creare l'area di lavoro e gli endpoint privati nell'interfaccia utente di portale di Azure.

Gravità: medio

Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete

Descrizione: limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere alla risorsa del servizio azure per intelligenza artificiale.

Gravità: medio

Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale)

Descrizione: è consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Altre informazioni.

Gravità: medio

I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati

Descrizione: abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. In questo modo è possibile ricreare i percorsi attività a scopo di indagine, quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa.

Gravità: Bassa

Raccomandazioni rimosse

L'accesso ai Servizi app deve essere limitato

Descrizione e criterio correlato: limitare l'accesso alle servizio app modificando la configurazione di rete, per negare il traffico in ingresso da intervalli troppo ampi. (Criterio correlato: [Anteprima]: l'accesso alle servizio app deve essere limitato).

Gravità: alta

È consigliabile applicare la protezione avanzata alle regole per le applicazioni Web nei gruppi di sicurezza di rete IaaS

Descrizione e criteri correlati: rafforzare il gruppo di sicurezza di rete (NSG) delle macchine virtuali che eseguono applicazioni Web, con regole del gruppo di sicurezza di rete eccessivamente permissive per quanto riguarda le porte dell'applicazione Web. (criterio correlato: le regole dei gruppi di sicurezza di rete per le applicazioni Web in IaaS devono essere rafforzate).

Gravità: alta

I criteri di sicurezza pod devono essere definiti per ridurre il vettore di attacco rimuovendo i privilegi delle applicazioni non necessari (Anteprima)

Descrizione e criterio correlato: definire i criteri di sicurezza dei pod per ridurre il vettore di attacco rimuovendo i privilegi dell'applicazione non necessari. È consigliabile configurare i criteri di sicurezza pod per consentire ai pod di accedere solo alle risorse per cui sono autorizzati. (Criterio correlato: [Anteprima]: I criteri di sicurezza dei pod devono essere definiti nei servizi Kubernetes).

Gravità: medio

Install Azure Security Center for IoT security module to get more visibility into your IoT devices (Installare il modulo di protezione del Centro sicurezza di Azure per IoT per ottenere maggiore visibilità nei dispositivi IoT)

Descrizione e criteri correlati: installare Centro sicurezza di Azure per il modulo di sicurezza IoT per ottenere maggiore visibilità sui dispositivi IoT.

Gravità: Bassa

È consigliabile riavviare i computer per applicare gli aggiornamenti del sistema

Descrizione e criterio correlato: riavviare i computer per applicare gli aggiornamenti di sistema e proteggere il computer dalle vulnerabilità. (criterio correlato: gli aggiornamenti di sistema devono essere installati nei computer).

Gravità: medio

L'agente di monitoraggio deve essere installato nei computer

Descrizione e criterio correlato: questa azione installa un agente di monitoraggio nelle macchine virtuali selezionate. Selezionare un'area di lavoro a cui l'agente deve inviare report. (Nessun criterio correlato)

Gravità: alta

Java deve essere aggiornato alla versione più recente per le app Web

Descrizione e criterio correlato: periodicamente, le versioni più recenti vengono rilasciate per il software Java a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Java per le app Web per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: assicurarsi che la "versione Java" sia la più recente, se usata come parte dell'app Web).

Gravità: medio

Python deve essere aggiornato alla versione più recente per le app per le funzioni

Descrizione e criterio correlato: periodicamente, le versioni più recenti vengono rilasciate per il software Python a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Python per le app per le funzioni per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: assicurarsi che la "versione python" sia la più recente, se usata come parte dell'app per le funzioni).

Gravità: medio

Python deve essere aggiornato alla versione più recente per le app Web

Descrizione e criterio correlato: periodicamente, le versioni più recenti vengono rilasciate per il software Python a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Python per le app Web per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (criterio correlato: assicurarsi che la "versione python" sia la più recente, se usata come parte dell'app Web).

Gravità: medio

Java deve essere aggiornato alla versione più recente per le app per le funzioni

Descrizione e criterio correlato: periodicamente, le versioni più recenti vengono rilasciate per il software Java a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di Java per le app per le funzioni per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: assicurarsi che la "versione Java" sia la più recente, se usata come parte dell'app per le funzioni).

Gravità: medio

PHP deve essere aggiornato alla versione più recente per le app Web

Descrizione e criterio correlato: periodicamente, le versioni più recenti vengono rilasciate per il software PHP a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare l'ultima versione di PHP per le app Web per trarre vantaggio dalle eventuali correzioni per la sicurezza e/o dalle nuove funzionalità introdotte. (Criterio correlato: assicurarsi che la "versione PHP" sia la più recente, se usata come parte dell'app WEB).

Gravità: medio

È necessario risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali

Descrizione: risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerli dalle minacce e dalle vulnerabilità più recenti. Vedere la documentazione per le soluzioni di Endpoint Protection supportate da Defender per il cloud e le valutazioni di Endpoint Protection. (Nessun criterio correlato)

Gravità: medio

Endpoint Protection deve essere installato nei computer

Descrizione: per proteggere i computer da minacce e vulnerabilità, installare una soluzione di endpoint protection supportata. Altre informazioni su come endpoint protection per i computer vengono valutati nella valutazione e nelle raccomandazioni di Endpoint Protection in Microsoft Defender per il cloud. (Nessun criterio correlato)

Gravità: alta

L'accesso alla rete pubblica deve essere disabilitato per gli account Servizi cognitivi

Descrizione: questo criterio controlla qualsiasi account di Servizi cognitivi nell'ambiente con l'accesso alla rete pubblica abilitato. L'accesso alla rete pubblica deve essere disabilitato per consentire solo le connessioni da endpoint privati. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per gli account di Servizi cognitivi.

Gravità: medio

Condividi tramite

Suggerimenti per la sicurezza

Raccomandazioni per AppServices

Raccomandazioni per le istanze di calcolo

Consigli per i contenitori

Raccomandazioni per i dati