Dettagli dell'iniziativa incorporata di conformità con le normative per Azure Security Benchmark

L'articolo seguente definisce il mapping dell'iniziativa predefinita di conformità alle normative di Criteri di Azure ai domini di conformità e ai controlli di Azure Security Benchmark. Per altre informazioni su questo standard di conformità, vedere Azure Security Benchmark. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli di Azure Security Benchmark. Usare la barra di spostamento a destra per passare direttamente a un dominio di conformità specifico. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative per Azure Security Benchmark.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

Sicurezza di rete

Implementare la sicurezza per il traffico interno

ID: Azure Security Benchmark NS-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione di Rete virtuale di Azure offre sicurezza avanzata e isolamento e consente di posizionare il servizio API Management in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Disabled 1.0.1
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0
Azure Key Vault disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/akvprivatelink. Audit, Deny, Disabled 2.0.0-preview
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account servizi cognitivi non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione dell'account servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Deny, Disabled 2.0.0
Gli account Servizi cognitivi devono limitare l'accesso alla rete L'accesso di rete agli account Servizi cognitivi deve essere limitato. È consigliabile configurare le regole di rete in modo tale che solo le applicazioni dalle reti consentite possano accedere all'account Servizi cognitivi. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici. Audit, Deny, Disabled 2.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da indirizzi o intervalli di indirizzi IP pubblici specifici. Se nel registro non sono configurate regole del firewall o IP o una rete virtuale, il registro verrà visualizzato nelle risorse non integre. Per altre informazioni sulle regole di rete per il Registro Azure Container, vedere https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, Disabled 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Disabled 1.0.2
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Disabled 1.0.2
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Disabled 1.0.2
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0

Connessione reti private insieme

ID: Azure Security Benchmark NS-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
La cache di Azure per Redis deve risiedere all'interno di una rete virtuale La distribuzione di Rete virtuale di Azure offre sicurezza e isolamento ottimizzati per il cache di Azure per Redis, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un'cache di Azure per Redis è configurata con una rete virtuale, non è indirizzabile pubblicamente ed è accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. Audit, Deny, Disabled 1.0.3
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio consente anche di proteggersi dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping di endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio consente anche di proteggersi dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Tramite il mapping di endpoint privati Azure Machine Learning aree di lavoro, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Audit, Deny, Disabled 1.1.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping di endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio consente di ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://aka.ms/asrs/privatelink . Audit, Deny, Disabled 1.0.1
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere configurato per Key Vault Il collegamento privato consente di connettere un insieme di credenziali delle chiavi alle risorse di Azure senza inviare il traffico sulla rete Internet pubblica. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. Audit, Deny, Disabled 1.1.0-preview
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Archiviazione account devono usare il collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping degli endpoint privati all'account di archiviazione riduce i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping di endpoint privati alla macchina virtuale Image Builder risorse di compilazione riduce i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Audit, Disabled, Deny 1.1.0

Stabilire l'accesso alla rete privata ai servizi di Azure

ID: Azure Security Benchmark NS-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio consente anche di proteggersi dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping di endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio consente anche di proteggersi dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Tramite il mapping di endpoint privati Azure Machine Learning aree di lavoro, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Audit, Deny, Disabled 1.1.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping di endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio consente di ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://aka.ms/asrs/privatelink . Audit, Deny, Disabled 1.0.1
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere configurato per Key Vault Il collegamento privato consente di connettere un insieme di credenziali delle chiavi alle risorse di Azure senza inviare il traffico sulla rete Internet pubblica. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. Audit, Deny, Disabled 1.1.0-preview
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Archiviazione account devono usare il collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping degli endpoint privati all'account di archiviazione riduce i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Collegamento privato gestisce la connettività tra il consumer e i servizi attraverso la rete backbone di Azure. Il mapping di endpoint privati alla macchina virtuale Image Builder risorse di compilazione riduce i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Audit, Disabled, Deny 1.1.0

Proteggere applicazioni e servizi da attacchi alla rete esterna

ID: Azure Security Benchmark NS-4 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0
La protezione DDoS di Azure Standard deve essere abilitata È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. AuditIfNotExists, Disabled 3.0.0
Azure Key Vault disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/akvprivatelink. Audit, Deny, Disabled 2.0.0-preview
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.1
Web Application Firewall (WAF) deve essere abilitato per servizio Frontdoor di Azure servizio Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.1

Distribuire sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS)

ID: Azure Security Benchmark NS-5 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview

Identity Management

Standardizzare Azure Active Directory come sistema centrale di identità e autenticazione

ID: Azure Security Benchmark IM-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Nell'app per le API è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
Nell'app per le funzioni è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
Nell'app Web è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Gestire le identità delle applicazioni in modo sicuro e automatico

ID: Azure Security Benchmark IM-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Nell'app per le API è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
Nell'app per le funzioni è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
Nell'app Web è necessario usare un'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 2.0.0
Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione I certificati di gestione consentono a tutti gli utenti che li usano per l'autenticazione di gestire una o più sottoscrizioni a cui sono associati. Per gestire le sottoscrizioni in modo più sicuro, è consigliabile usare le entità servizio con Resource Manager è consigliato per limitare l'impatto in caso di compromissione di un certificato. AuditIfNotExists, Disabled 1.0.0

Usare controlli di autenticazione avanzata per tutti gli Azure Active Directory accesso basato su

ID: Azure Security Benchmark IM-4 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'autenticazione nei computer Linux deve richiedere chiavi SSH Anche se SSH fornisce una connessione crittografata, l'uso di password con SSH rende ancora la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . AuditIfNotExists, Disabled 2.0.1
L'autenticazione MFA deve essere abilitata per gli account con autorizzazioni di scrittura per la sottoscrizione È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 3.0.0
L'autenticazione MFA deve essere abilitata negli account con autorizzazioni di proprietario per la sottoscrizione È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 3.0.0
L'autenticazione MFA deve essere abilitata negli account con autorizzazioni di lettura per la sottoscrizione È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 3.0.0

Eliminare l'esposizione non intenzionale delle credenziali

ID: Azure Security Benchmark IM-7 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I certificati devono avere il periodo di validità massimo specificato Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. Audit, Deny, Disabled 2.1.0-preview
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2

Accesso con privilegi

Proteggere e limitare gli utenti con privilegi elevati

ID: Azure Security Benchmark PA-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 3.0.0
Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 3.0.0
Alla sottoscrizione deve essere assegnato più di un proprietario È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. AuditIfNotExists, Disabled 3.0.0

Verificare e riconciliare regolarmente l'accesso utente

ID: Azure Security Benchmark PA-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Gli account deprecati devono essere rimossi dalla sottoscrizione È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 3.0.0
Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 3.0.0
Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 3.0.0
Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 3.0.0
Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalla sottoscrizione È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 3.0.0

Automatizzare la gestione degli entitlement

ID: Azure Security Benchmark PA-5 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I certificati devono avere il periodo di validità massimo specificato Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. Audit, Deny, Disabled 2.1.0-preview
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2

Seguire un'amministrazione sufficiente (principio dei privilegi minimi)

ID: Azure Security Benchmark PA-7 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Controlla l'uso di ruoli di controllo degli accessi in base al ruolo personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.0
Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. Audit, Disabled 1.0.2

Protezione dei dati

Individuazione, classificazione ed etichettatura dei dati sensibili

ID: Azure Security Benchmark DP-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile configurare come riservati i dati sensibili nei database SQL Centro sicurezza di Azure monitora i risultati di analisi di individuazione dati e classificazione per i database SQL e fornisce raccomandazioni per classificare i dati sensibili nei database per migliorare il monitoraggio e la sicurezza AuditIfNotExists, Disabled 3.0.0-preview

Proteggere i dati sensibili

ID: Azure Security Benchmark DP-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL devono essere abilitate per le istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3
L'accesso pubblico agli account di archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. Audit, Deny, Disabled 3.0.1-preview
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra risorse di calcolo Archiviazione dati Le macchine virtuali per cui non è abilitata la crittografia dei dischi verranno monitorate dal Centro sicurezza di Azure che invierà raccomandazioni. AuditIfNotExists, Disabled 2.0.1

Monitorare il trasferimento non autorizzato di dati sensibili

ID: Azure Security Benchmark DP-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL devono essere abilitate per le istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3

Crittografare le informazioni riservate in transito

ID: Azure Security Benchmark DP-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'app per le API deve essere accessibile solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled 1.0.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
L'app per le API deve usare solo FTPS Abilita imposizione FTPS per la protezione avanzata AuditIfNotExists, Disabled 2.0.0
L'app per le funzioni deve usare solo FTPS Abilita imposizione FTPS per la protezione avanzata AuditIfNotExists, Disabled 2.0.0
L'app Web deve usare FTPS Abilita imposizione FTPS per la protezione avanzata AuditIfNotExists, Disabled 2.0.0
L'app per le funzioni deve essere accessibile solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled 1.0.0
I cluster Kubernetes devono essere accessibili solo tramite HTTPS L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per il motore del servizio Azure Arc kubernetes abilitato. Per altre informazioni, visitare https://aka.ms/kubepolicydoc Audit, Deny, Disabled 6.0.0
Nell'app per le API è necessario usare la versione più recente di TLS Esegui l'aggiornamento alla versione più recente di TLS AuditIfNotExists, Disabled 1.0.0
Nell'app per le funzioni è necessario usare la versione più recente di TLS Esegui l'aggiornamento alla versione più recente di TLS AuditIfNotExists, Disabled 1.0.0
Nell'app Web è necessario usare la versione più recente di TLS Esegui l'aggiornamento alla versione più recente di TLS AuditIfNotExists, Disabled 1.0.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 1.0.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0
L'applicazione Web deve essere accessibile solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled 1.0.0
Windows i server Web devono essere configurati per l'uso di protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i server Web devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni in rete usando i certificati di sicurezza per crittografare una connessione tra computer. AuditIfNotExists, Disabled 3.0.0

Crittografare i dati sensibili in stato di inquieto

ID: Azure Security Benchmark DP-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati quando sono in pausa con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con Azure Key Vault chiave creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/cosmosdb-cmk. Audit, Deny, Disabled 1.0.2
Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente Gestire la crittografia nella parte restante Azure Machine Learning dati dell'area di lavoro con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulle chiavi gestite dal cliente, vedere https://go.microsoft.com/fwlink/?linkid=2121321 . Audit, Deny, Disabled 2.0.0
I registri contenitori devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati in stato di inquieto con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni, vedere https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati in pausa Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati vengono crittografati in stato di inquieto con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati in pausa Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati vengono crittografati in stato di inquieto con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente Audit, Deny, Disabled 1.1.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. AuditIfNotExists, Disabled 1.0.2
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. AuditIfNotExists, Disabled 2.0.1
Archiviazione account devono usare la chiave gestita dal cliente per la crittografia Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso di chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati crittograficamente. Audit, Disabled 1.0.3
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra le risorse di calcolo e Archiviazione dati Le macchine virtuali per cui non è abilitata la crittografia dei dischi verranno monitorate dal Centro sicurezza di Azure che invierà raccomandazioni. AuditIfNotExists, Disabled 2.0.1

Asset Management (Gestione degli asset)

Usare solo servizi di Azure approvati

ID: Azure Security Benchmark AM-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

Usare solo applicazioni approvate nelle risorse di calcolo

ID: Azure Security Benchmark AM-6 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0

Registrazione e rilevamento delle minacce

Abilitare il rilevamento delle minacce per le risorse di Azure

ID: Azure Security Benchmark LT-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Arc cluster Kubernetes abilitati devono avere Azure Defender'estensione del servizio Azure Defender'estensione per Azure Arc offre protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati dai nodi del cluster e li invia al back Azure Defender per Kubernetes back-end nel cloud per un'ulteriore analisi. Per altre informazioni, vedere https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-preview
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i registri contenitori deve essere abilitato Azure Defender per i registri contenitori fornisce l'analisi delle vulnerabilità delle immagini di cui è stato eseguito il pull negli ultimi 30 giorni oppure di cui è stato eseguito il push o l'importazione nel registro ed espone i risultati dettagliati per immagine. AuditIfNotExists, Disabled 1.0.3
Azure Defender per DNS deve essere abilitato Azure Defender dns offre un livello di protezione aggiuntivo per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisi sulle attività sospette a livello DNS. Per altre informazioni sulle funzionalità di Azure Defender dns, vedere https://aka.ms/defender-for-dns . L'abilitazione Azure Defender piano comporta addebiti. Per informazioni sui dettagli sui prezzi per area, vedere la pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Kubernetes deve essere abilitato Azure Defender per Kubernetes fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi per le attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva le minacce e avvisa l'utente in caso di attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione Azure Defender piano comporta addebiti. Per informazioni sui dettagli sui prezzi per area, vedere la pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL devono essere abilitate per le istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3

Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi di Azure

ID: Azure Security Benchmark LT-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Arc cluster Kubernetes abilitati devono avere Azure Defender'estensione del servizio Azure Defender'estensione per Azure Arc offre protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati dai nodi del cluster e li invia al back Azure Defender per Kubernetes back-end nel cloud per un'ulteriore analisi. Per altre informazioni, vedere https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-preview
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i registri contenitori deve essere abilitato Azure Defender per i registri contenitori fornisce l'analisi delle vulnerabilità delle immagini di cui è stato eseguito il pull negli ultimi 30 giorni oppure di cui è stato eseguito il push o l'importazione nel registro ed espone i risultati dettagliati per immagine. AuditIfNotExists, Disabled 1.0.3
Azure Defender per DNS deve essere abilitato Azure Defender dns offre un livello di protezione aggiuntivo per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisi sulle attività sospette a livello DNS. Per altre informazioni sulle funzionalità di Azure Defender dns, vedere https://aka.ms/defender-for-dns . L'abilitazione Azure Defender piano comporta addebiti. Per informazioni sui dettagli sui prezzi per area, vedere la pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Kubernetes deve essere abilitato Azure Defender per Kubernetes fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi per le attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva le minacce e avvisa l'utente in caso di attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione Azure Defender piano comporta addebiti. Per informazioni sui dettagli sui prezzi per area, vedere la pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL devono essere abilitate per le istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3

Abilitare la registrazione per le attività di rete di Azure

ID: Azure Security Benchmark LT-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.1-preview
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.1-preview
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario avere un gruppo di risorse network watcher da creare in ogni area in cui è presente una rete virtuale. Se un gruppo di risorse network watcher non è disponibile in una determinata area, viene abilitato un avviso. AuditIfNotExists, Disabled 3.0.0

Abilitare la registrazione per le risorse di Azure

ID: Azure Security Benchmark LT-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
I log di diagnostica devono essere abilitati in Servizi app Controlla l'abilitazione dei log di diagnostica nell'app. consentendo di ricreare la traccia delle attività ai fini di controllo se si verifica un problema di sicurezza o la rete viene compromessa AuditIfNotExists, Disabled 2.0.0
I log delle risorse in Azure Data Lake Store devono essere abilitati Controlla l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse Analisi di flusso di Azure devono essere abilitati Controlla l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse negli account Batch devono essere abilitati Controlla l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse Data Lake Analytics devono essere abilitati Controlla l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub eventi devono essere abilitati Controlla l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub IoT devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.0.1
I log delle risorse Key Vault devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in App per la logica devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nei servizi di ricerca devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse bus di servizio devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nei set di scalabilità di macchine virtuali devono essere abilitati È consigliabile abilitare i log per poter ricreare la traccia delle attività quando sono necessarie indagini in caso di evento imprevisto o compromissione. AuditIfNotExists, Disabled 2.0.1

Centralizzare la gestione e l'analisi dei log di sicurezza

ID: Azure Security Benchmark LT-5 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
servizio Azure Kubernetes cluster devono essere abilitati Azure Defender profilo Azure Defender per Kubernetes offre funzionalità di sicurezza kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione dei carichi di lavoro e protezione in fase di esecuzione.
Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, viene distribuito un agente nel cluster per raccogliere i dati degli eventi di sicurezza.
Altre informazioni sulle Azure Defender per Kubernetes in https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction
Audit, Disabled 1.0.0-preview
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni in-guest del computer, installare l'estensione Configurazione guest. Le impostazioni in-guest monitorate dall'estensione includono la configurazione del sistema operativo, la configurazione o la presenza dell'applicazione e le impostazioni di ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per altre informazioni, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
È consigliabile risolvere i problemi di integrità dell'agente di Log Analytics nei computer Il Centro sicurezza usa l'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA). Per assicurarsi che le macchine virtuali siano monitorate correttamente, è necessario assicurarsi che l'agente sia installato nelle macchine virtuali e che raccolga in modo appropriato gli eventi di sicurezza nell'area di lavoro configurata. AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nelle macchine virtuali Linux in Azure Arc Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installato l'agente di Log Analytics. AuditIfNotExists, Disabled 1.0.0-preview
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nelle macchine virtuali Windows in Azure Arc Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installato l'agente di Log Analytics. AuditIfNotExists, Disabled 1.0.0-preview
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando hanno installato l'estensione Configurazione guest ma non hanno un'identità gestita assegnata dal sistema. Per altre informazioni, vedere https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Configurare la conservazione dell'archiviazione log

ID: Azure Security Benchmark LT-6 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
SQL server con controllo sulla destinazione dell'account di archiviazione devono essere configurati con conservazione di 90 giorni o superiore Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo SQL Server'account di archiviazione sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si opera. Questa operazione è talvolta necessaria per la conformità agli standard normativi. AuditIfNotExists, Disabled 3.0.0

Risposta agli eventi imprevisti

Preparazione - Configurare la notifica degli eventi imprevisti

ID: Azure Security Benchmark IR-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.0.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Rilevamento e analisi: creare eventi imprevisti basati su avvisi di alta qualità

ID: Azure Security Benchmark IR-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i registri contenitori deve essere abilitato Azure Defender per i registri contenitori fornisce l'analisi delle vulnerabilità delle immagini di cui è stato eseguito il pull negli ultimi 30 giorni oppure di cui è stato eseguito il push o l'importazione nel registro ed espone i risultati dettagliati per immagine. AuditIfNotExists, Disabled 1.0.3
Azure Defender per DNS deve essere abilitato Azure Defender dns offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisi sulle attività sospette a livello DNS. Per altre informazioni sulle funzionalità di Azure Defender dns, vedere https://aka.ms/defender-for-dns . L'abilitazione Azure Defender questo piano comporta addebiti. Informazioni sui dettagli dei prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Kubernetes deve essere abilitato Azure Defender per Kubernetes fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi per le attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva le minacce e avvisa l'utente in caso di attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione Azure Defender questo piano comporta addebiti. Informazioni sui dettagli dei prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3

Rilevamento e analisi: assegnare priorità agli eventi imprevisti

ID: Azure Security Benchmark IR-5 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per i registri contenitori deve essere abilitato Azure Defender per i registri contenitori fornisce l'analisi delle vulnerabilità delle immagini di cui è stato eseguito il pull negli ultimi 30 giorni oppure di cui è stato eseguito il push o l'importazione nel registro ed espone i risultati dettagliati per immagine. AuditIfNotExists, Disabled 1.0.3
Azure Defender per DNS deve essere abilitato Azure Defender dns offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisi sulle attività sospette a livello DNS. Per altre informazioni sulle funzionalità di Azure Defender dns, vedere https://aka.ms/defender-for-dns . L'abilitazione Azure Defender questo piano comporta addebiti. Informazioni sui dettagli dei prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-preview
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Kubernetes deve essere abilitato Azure Defender per Kubernetes fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi per le attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva le minacce e avvisa l'utente in caso di attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione Azure Defender questo piano comporta addebiti. Informazioni sui dettagli dei prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Azure Defender per l'archiviazione deve essere abilitato Azure Defender per l'archiviazione offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. AuditIfNotExists, Disabled 1.0.3

Gestione del comportamento e della vulnerabilità

Sostenere configurazioni sicure per i servizi di Azure

ID: Azure Security Benchmark PV-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. Audit, Disabled 1.0.2
CORS non deve consentire a tutte le risorse di accedere all'app per le API dell'utente Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le API. Consentire solo ai domini necessari di interagire con l'app per le API. AuditIfNotExists, Disabled 1.0.0
CORS non deve consentire a tutte le risorse di accedere alle app per le funzioni Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. AuditIfNotExists, Disabled 1.0.0
CORS non deve consentire a tutte le risorse di accedere alle applicazioni Web Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'applicazione Web. Consentire solo ai domini necessari di interagire con l'app Web dell'utente. AuditIfNotExists, Disabled 1.0.0
Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app per le API sia impostata su 'Sì' I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Audit, Disabled 1.0.0
Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app Web sia impostata su 'Sì' I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Audit, Disabled 1.0.0
Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)' I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Audit, Disabled 1.0.1
I limiti di CPU e risorse di memoria dei contenitori del cluster Kubernetes non devono superare i limiti specificati Applicare i limiti della CPU del contenitore e delle risorse di memoria per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 7.0.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host Impedire ai contenitori di pod di condividere lo spazio dei nomi dell'ID processo host e lo spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3 che hanno lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
I contenitori del cluster Kubernetes devono restare in ascolto solo sulle porte consentite Limitare ai contenitori l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.1
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod che hanno lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinate a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I contenitori del cluster Kubernetes devono usare solo immagini consentite Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 7.0.0
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura Eseguire contenitori con una radice di sola file system per proteggere dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti Limitare i montamenti del volume HostPath del pod ai percorsi host consentiti in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod che hanno lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati Controllare l'utente, il gruppo primario, il gruppo supplementare e file system id gruppo che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod che hanno lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, che ha lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 4.0.0
I servizi cluster Kubernetes devono essere in ascolto solo sulle porte consentite Limitare i servizi all'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.1
Il cluster Kubernetes non deve consentire contenitori con privilegi Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.1 che ha lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 7.0.0
Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.0.0-preview
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori Non consentire l'esecuzione dei contenitori con l'escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, che ha lo scopo di migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0
I cluster Kubernetes non devono concedere CAP_SYS_ADMIN di sicurezza Per ridurre la superficie di attacco dei contenitori, limitare CAP_SYS_ADMIN linux. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.0.0-preview
I cluster Kubernetes non devono usare lo spazio dei nomi predefinito Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per altre informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 2.1.0-preview
Il debug remoto deve essere disattivato per le app per le API Il debug remoto richiede che le porte in ingresso siano aperte nelle app per le API. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 1.0.0
Il debug remoto deve essere disattivato per l'app per le funzioni Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 1.0.0
Il debug remoto deve essere disattivato per le applicazioni Web Il debug remoto richiede che le porte in ingresso siano aperte in un'applicazione Web. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 1.0.0

Stabilire configurazioni sicure per le risorse di calcolo

ID: Azure Security Benchmark PV-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità di avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite Attestazione remota. Questa valutazione si applica solo alle macchine virtuali Linux abilitate per l'avvio attendibile. AuditIfNotExists, Disabled 2.0.0-preview
L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati Installare l'estensione Attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità di avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite Attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali Linux abilitati per l'avvio attendibile. AuditIfNotExists, Disabled 2.0.0-preview
L'estensione attestazione guest deve essere installata nelle macchine Windows supportate Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di eseguire in modo proattivo l'attestazione e monitorare l'integrità di avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite Attestazione remota. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. AuditIfNotExists, Disabled 1.0.0-preview
L'estensione attestazione guest deve essere installata nei set di scalabilità Windows macchine virtuali supportati Installare l'estensione Attestazione guest nei set di scalabilità di macchine virtuali supportati per Centro sicurezza di Azure di eseguire in modo proattivo l'attestazione e monitorare l'integrità di avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite Attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali abilitati per l'avvio attendibile. AuditIfNotExists, Disabled 1.0.0-preview
L'avvio protetto deve essere abilitato nelle macchine Windows supportate Abilitare l'avvio protetto nelle macchine Windows supportate per mitigare eventuali modifiche dannose e non autorizzate alla catena di avvio. Una volta abilitati, sarà consentita l'esecuzione solo dei bootloader attendibili, dei driver kernel e del kernel. Questa valutazione si applica solo alle macchine virtuali abilitate per Windows attendibili. Audit, Disabled 1.0.0-preview
vTPM deve essere abilitato nelle macchine virtuali supportate Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare avvio con misurazioni e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Una volta abilitato, è possibile usare vTPM per attestare l'integrità di avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. Audit, Disabled 1.0.0-preview

Sostenere configurazioni sicure per le risorse di calcolo

ID: Azure Security Benchmark PV-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza del calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza del calcolo di Azure. AuditIfNotExists, Disabled 1.1.1-preview
È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 3.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. AuditIfNotExists, Disabled 3.0.0
Windows devono soddisfare i requisiti della baseline di sicurezza del calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza del calcolo di Azure. AuditIfNotExists, Disabled 1.0.1-preview

Eseguire valutazioni delle vulnerabilità software

ID: Azure Security Benchmark PV-6 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
SQL database devono essere risolti i risultati delle vulnerabilità Monitorare i risultati dell'analisi della valutazione della vulnerabilità e le raccomandazioni su come correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.0.0
SQL server nei computer devono essere risolti i risultati delle vulnerabilità SQL valutazione della vulnerabilità analizza il database alla ricerca di vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio errori di configurazione, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. AuditIfNotExists, Disabled 1.0.0
È consigliabile correggere le vulnerabilità nelle immagini del Registro Azure Container La valutazione della vulnerabilità delle immagini del contenitore analizza il registro per individuare le vulnerabilità relative alla sicurezza in ogni immagine del contenitore push ed espone i risultati dettagliati per ogni immagine (basata su Qualys). La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. AuditIfNotExists, Disabled 2.0.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL Controlla i server di Azure SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 2.0.0

Correggere rapidamente e automaticamente le vulnerabilità del software

ID: Azure Security Benchmark PV-7 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app per le API Periodicamente, per Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 2.0.0
Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app per le funzioni Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 2.0.0
Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app Web Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 2.0.0
Assicurarsi che la 'versione di PHP' sia la più recente, se usata come parte dell'app per le API Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 2.1.0
Assicurarsi che la 'versione di PHP' sia la più recente, se usata come parte dell'app Web Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 2.1.0
Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app per le API Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 3.0.0
Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app per le funzioni Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 3.0.0
Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app Web Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Attualmente, questo criterio si applica solo alle app Web Linux. AuditIfNotExists, Disabled 3.0.0
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. AuditIfNotExists, Disabled 3.0.0
Gli aggiornamenti di sistema devono essere installati nelle macchine Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 4.0.0

Sicurezza degli endpoint

Usare rilevamento e risposta degli endpoint (EDR)

ID: Azure Security Benchmark ES-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3

Usare software antimalware moderno gestito centralmente

ID: Azure Security Benchmark ES-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di endpoint protection supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows . La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection . AuditIfNotExists, Disabled 1.0.0
È consigliabile installare Endpoint Protection nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. AuditIfNotExists, Disabled 3.0.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'Criteri di Azure di configurazione guest. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 1.1.1

Verificare che le firme e il software antimalware siano aggiornati

ID: Azure Security Benchmark ES-3 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di endpoint protection supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows . La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection . AuditIfNotExists, Disabled 1.0.0
È consigliabile installare Endpoint Protection nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. AuditIfNotExists, Disabled 1.0.0
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. AuditIfNotExists, Disabled 3.0.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0

Backup e ripristino

Garantire backup automatizzati regolari

ID: Azure Security Benchmark BR-1 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 2.0.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1

Crittografare i dati di backup

ID: Azure Security Benchmark BR-2 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 2.0.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1

Mitigare il rischio di perdita delle chiavi

ID: Azure Security Benchmark BR-4 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. Un utente malintenzionato interno all'organizzazione può potenzialmente eliminare e rimuovere definitivamente gli insiemi di credenziali delle chiavi. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Audit, Deny, Disabled 2.0.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione soft consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. Audit, Deny, Disabled 2.0.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure: