Dettagli dell'iniziativa predefinita di conformità alle normative CIS Microsoft Azure Foundations Benchmark 2.0.0

L'articolo seguente illustra in dettaglio il mapping della definizione predefinita di conformità alle normative Criteri di Azure ai domini di conformità e ai controlli in CIS Microsoft Azure Foundations Benchmark 2.0.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark 2.0.0. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli CIS Microsoft Azure Foundations Benchmark 2.0.0 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Individuare e selezionare quindi la definizione dell'iniziativa predefinita CIS Microsoft Azure Foundations Benchmark v2.0.0 Per conformità alle normative.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

1.1

Verificare che le impostazioni predefinite per la sicurezza siano abilitate in Azure Active Directory

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
Eseguire l'autenticazione al modulo di crittografia	CMA_0021 - Eseguire l'autenticazione al modulo di crittografia	Manuale, Disabilitato	1.1.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Documentare il training sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida per l'accesso remoto	CMA_0196 - Documentare le linee guida per l'accesso remoto	Manuale, Disabilitato	1.1.0
Identificare ed autenticare i dispositivi di rete	CMA_0296 - Identificare ed autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
Soddisfare i requisiti di qualità dei token	CMA_0487 - Soddisfare i requisiti di qualità dei token	Manuale, Disabilitato	1.1.0

Assicurarsi che "Stato autenticazione a più fattori" sia "Abilitato" per tutti gli utenti con privilegi

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0

Assicurarsi che "Stato autenticazione a più fattori" sia "Abilitato" per tutti gli utenti senza privilegi

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0

Assicurarsi che l'opzione "Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considerano attendibili" è Disabilitata

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.1.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
Identificare ed autenticare i dispositivi di rete	CMA_0296 - Identificare ed autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0
Soddisfare i requisiti di qualità dei token	CMA_0487 - Soddisfare i requisiti di qualità dei token	Manuale, Disabilitato	1.1.0

1

Assicurarsi che "Invia una notifica a tutti gli amministratori quando altri amministratori reimpostano la password?". è impostato su 'Sì'

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.10 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Automatizzare la gestione degli account	CMA_0026 - Automatizzare la gestione degli account	Manuale, Disabilitato	1.1.0
Implementare il training per la protezione degli autenticatori	CMA_0329 - Implementare il training per la protezione degli autenticatori	Manuale, Disabilitato	1.1.0
Gestire gli account di sistema e amministratore	CMA_0368 - Gestire gli account di sistema e amministratore	Manuale, Disabilitato	1.1.0
Monitorare l'accesso all'intera organizzazione	CMA_0376 - Monitorare l'accesso all'intera organizzazione	Manuale, Disabilitato	1.1.0
Monitorare l'assegnazione di ruolo con privilegi	CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi	Manuale, Disabilitato	1.1.0
Notifica quando l'account non è necessario	CMA_0383 - Notifica quando l'account non è necessario	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Revocare i ruoli con privilegi in base alle esigenze	CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze	Manuale, Disabilitato	1.1.0
Usare privileged identity management	CMA_0533 - Usare Privileged Identity Management	Manuale, Disabilitato	1.1.0

Assicurarsi che User consent for applications sia impostato su Do not allow user consent

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.11 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0

Assicurarsi che "Gli utenti possano aggiungere app della raccolta a App personali" sia impostato su "No"

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.13 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0

Assicurarsi che "Gli utenti possano registrare le applicazioni" sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.14 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0

Assicurarsi che "Restrizioni di accesso degli utenti guest" sia impostato su "L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.15 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0

Assicurarsi che "Restrizioni invito guest" sia impostato su "Solo gli utenti assegnati a ruoli di amministratore specifici possono invitare utenti guest"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.16 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0

Assicurarsi che "Limitare l'accesso al portale di amministrazione di Azure AD" sia impostato su "Sì"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.17 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0

Assicurarsi che "Limitare la capacità utente di accedere alle funzionalità dei gruppi nel riquadro di accesso" sia impostato su "Sì"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.18 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Assicurarsi che "Gli utenti possano creare gruppi di sicurezza in portale di Azure, API o PowerShell" sia impostato su "No"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.19 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Assicurarsi che "I proprietari possano gestire le richieste di appartenenza ai gruppi nel Pannello di accesso" sia impostato su "No"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.20 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Assicurarsi che "Gli utenti possano creare gruppi di Microsoft 365 in portale di Azure, API o PowerShell" sia impostato su "No"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.21 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Assicurarsi che "Richiedi Multi-Factor Authentication per registrare o aggiungere dispositivi con Azure AD" sia impostato su "Sì"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.22 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Documentare il training sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida per l'accesso remoto	CMA_0196 - Documentare le linee guida per l'accesso remoto	Manuale, Disabilitato	1.1.0
Identificare ed autenticare i dispositivi di rete	CMA_0296 - Identificare ed autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
Soddisfare i requisiti di qualità dei token	CMA_0487 - Soddisfare i requisiti di qualità dei token	Manuale, Disabilitato	1.1.0

Assicurarsi che non esistano ruoli di sottoscrizione personalizzati Amministrazione istrator

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.23 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati	Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce	Audit, Disabled	1.0.1
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Assicurarsi che a un ruolo personalizzato siano assegnate autorizzazioni per i blocchi delle risorse Amministrazione istering

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 1.24 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

Verificare che gli utenti guest vengano esaminati regolarmente

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 1.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Riassegnare o rimuovere i privilegi utente in base alle esigenze	CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze	Manuale, Disabilitato	1.1.0
Esaminare i log di provisioning degli account	CMA_0460 - Esaminare i log di provisioning degli account	Manuale, Disabilitato	1.1.0
Esaminare gli account utente	CMA_0480 - Esaminare gli account utente	Manuale, Disabilitato	1.1.0
Esaminare i privilegi utente	CMA_C1039 - Esaminare i privilegi utente	Manuale, Disabilitato	1.1.0

Assicurarsi che "Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione" non sia impostato su "0"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Automatizzare la gestione degli account	CMA_0026 - Automatizzare la gestione degli account	Manuale, Disabilitato	1.1.0
Gestire gli account di sistema e amministratore	CMA_0368 - Gestire gli account di sistema e amministratore	Manuale, Disabilitato	1.1.0
Monitorare l'accesso all'intera organizzazione	CMA_0376 - Monitorare l'accesso all'intera organizzazione	Manuale, Disabilitato	1.1.0
Notifica quando l'account non è necessario	CMA_0383 - Notifica quando l'account non è necessario	Manuale, Disabilitato	1.1.0

Assicurarsi che "Notificare agli utenti la reimpostazione della password?". è impostato su 'Sì'

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 1.9 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Automatizzare la gestione degli account	CMA_0026 - Automatizzare la gestione degli account	Manuale, Disabilitato	1.1.0
Implementare il training per la protezione degli autenticatori	CMA_0329 - Implementare il training per la protezione degli autenticatori	Manuale, Disabilitato	1.1.0
Gestire gli account di sistema e amministratore	CMA_0368 - Gestire gli account di sistema e amministratore	Manuale, Disabilitato	1.1.0
Monitorare l'accesso all'intera organizzazione	CMA_0376 - Monitorare l'accesso all'intera organizzazione	Manuale, Disabilitato	1.1.0
Notifica quando l'account non è necessario	CMA_0383 - Notifica quando l'account non è necessario	Manuale, Disabilitato	1.1.0

10

Assicurarsi che i blocchi delle risorse siano impostati per le risorse di Azure cruciali

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 10.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0

2.1

Assicurarsi che Microsoft Defender per server sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per Key Vault sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.10 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per Key Vault deve essere abilitato	Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault.	AuditIfNotExists, Disabled	1.0.3
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per DNS sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.11 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
[Deprecato]: Azure Defender per DNS deve essere abilitato	Questa definizione di criteri non è più il modo consigliato per raggiungere la finalità, perché il bundle DNS è deprecato. Anziché continuare a usare questo criterio, è consigliabile assegnare questo criterio di sostituzione con ID criterio 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Altre informazioni sulla deprecazione della definizione dei criteri sono disponibili in aka.ms/policydefdeprecation	AuditIfNotExists, Disabled	1.1.0-deprecato

Assicurarsi che Microsoft Defender per Resource Manager sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.12 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per Resource Manager deve essere abilitato	Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center .	AuditIfNotExists, Disabled	1.0.0

Assicurarsi che lo stato "Applica gli aggiornamenti di sistema" sia "Completato" di Microsoft Defender Recommendation

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.13 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti di sistema mancanti	Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Audit, Deny, Disabled	3.7.0

Verificare che uno dei criteri predefiniti del Centro sicurezza di Azure Impostazioni non sia impostato su "Disabilitato"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.14 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le azioni per i dispositivi non conformi	CMA_0062 - Configurare le azioni per i dispositivi non conformi	Manuale, Disabilitato	1.1.0
Sviluppare e gestire configurazioni di base	CMA_0153 - Sviluppare e gestire configurazioni di base	Manuale, Disabilitato	1.1.0
Applicare le impostazioni di configurazione della sicurezza	CMA_0249 - Applicare le impostazioni di configurazione della sicurezza	Manuale, Disabilitato	1.1.0
Stabilire una scheda di controllo della configurazione	CMA_0254 - Stabilire una scheda di controllo della configurazione	Manuale, Disabilitato	1.1.0
Stabilire e documentare un piano di gestione della configurazione	CMA_0264 - Stabilire e documentare un piano di gestione della configurazione	Manuale, Disabilitato	1.1.0
Implementare uno strumento di gestione della configurazione automatizzato	CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato	Manuale, Disabilitato	1.1.0

Assicurarsi che il provisioning automatico dell'agente di Log Analytics per le macchine virtuali di Azure sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.15 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione	Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create.	AuditIfNotExists, Disabled	1.0.1
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0

Assicurarsi che il provisioning automatico dei componenti di Microsoft Defender per contenitori sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.17 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Microsoft Defender per contenitori deve essere abilitato	Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud.	AuditIfNotExists, Disabled	1.0.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Verificare che "Indirizzi di posta elettronica aggiuntivi" sia configurato con un messaggio di posta elettronica contatto di sicurezza

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.19 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

Assicurarsi che Microsoft Defender per servizio app s sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per il Servizio app deve essere abilitato	Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni.	AuditIfNotExists, Disabled	1.0.3
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che "Invia una notifica agli avvisi con la gravità seguente" sia impostato su "Alto"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.20 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.1.0

Assicurarsi che l'integrazione delle app Microsoft Defender per il cloud con Microsoft Defender per il cloud sia Selezionata

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.21 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che sia selezionata l'integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.22 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per database sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per i server di database SQL di Azure deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Azure Defender per database relazionali open source deve essere abilitato	Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center	AuditIfNotExists, Disabled	1.0.0
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Microsoft Defender per Azure Cosmos DB deve essere abilitato	Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.	AuditIfNotExists, Disabled	1.0.0

Assicurarsi che Microsoft Defender per database SQL di Azure s sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per i server di database SQL di Azure deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per SQL Server nei computer sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato	Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili.	AuditIfNotExists, Disabled	1.0.2
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per database relazionali open source sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per database relazionali open source deve essere abilitato	Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center	AuditIfNotExists, Disabled	1.0.0

Assicurarsi che Microsoft Defender per Archiviazione sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Microsoft Defender per Archiviazione deve essere abilitato	Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi.	AuditIfNotExists, Disabled	1.0.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per contenitori sia impostato su "Attivato"

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Microsoft Defender per contenitori deve essere abilitato	Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud.	AuditIfNotExists, Disabled	1.0.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0

Assicurarsi che Microsoft Defender per Azure Cosmos DB sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 2.1.9 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Microsoft Defender per Azure Cosmos DB deve essere abilitato	Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.	AuditIfNotExists, Disabled	1.0.0

3

Assicurarsi che l'opzione "Trasferimento sicuro obbligatorio" sia impostata su "Abilitato".

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 3.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0

Assicurarsi che gli endpoint privati vengano usati per accedere agli account Archiviazione

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 3.10 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Archiviazione gli account devono usare un collegamento privato	Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Disabled	2.0.0

Assicurarsi che Archiviazione per i dati critici siano crittografati con chiavi gestite dal cliente

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.12 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
Archiviazione account devono usare la chiave gestita dal cliente per la crittografia	Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico.	Audit, Disabled	1.0.3

Verificare che Archiviazione registrazione sia abilitata per il servizio BLOB per le richieste "Lettura", "Scrittura" e "Elimina"

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 3.13 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Configurare le funzionalità di controllo di Azure	CMA_C1108 - Configurare le funzionalità di controllo di Azure	Manuale, Disabilitato	1.1.1
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che la registrazione Archiviazione sia abilitata per il servizio tabelle per le richieste "Lettura", "Scrittura" e "Elimina"

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 3.14 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Configurare le funzionalità di controllo di Azure	CMA_C1108 - Configurare le funzionalità di controllo di Azure	Manuale, Disabilitato	1.1.1
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Verificare che la "versione minima di TLS" per gli account di archiviazione sia impostata su "Versione 1.2"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.15 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0
Archiviazione gli account devono avere la versione minima di TLS specificata	Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account di archiviazione. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2.	Audit, Deny, Disabled	1.0.0

Assicurarsi che "Abilita crittografia infrastruttura" per ogni account Archiviazione in Archiviazione di Azure sia impostato su "abilitato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione	Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte.	Audit, Deny, Disabled	1.0.0

Assicurarsi che Archiviazione chiavi di accesso all'account vengano rigenerate periodicamente

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che la registrazione Archiviazione sia abilitata per il servizio di accodamento per le richieste "Lettura", "Scrittura" e "Elimina"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Configurare le funzionalità di controllo di Azure	CMA_C1108 - Configurare le funzionalità di controllo di Azure	Manuale, Disabilitato	1.1.1
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che i token di firma di accesso condiviso scadano entro un'ora

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 3.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Disabilitare gli autenticatori al termine	CMA_0169 - Disabilitare gli autenticatori al termine	Manuale, Disabilitato	1.1.0
Revocare i ruoli con privilegi in base alle esigenze	CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze	Manuale, Disabilitato	1.1.0
Terminare automaticamente la sessione utente	CMA_C1054 - Terminare automaticamente la sessione utente	Manuale, Disabilitato	1.1.0

Assicurarsi che il livello di accesso pubblico sia disabilitato per gli account di archiviazione con contenitori BLOB

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 3.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito	L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario.	audit, Audit, Deny, Deny, disabled, Disabled	3.1.0-preview
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0

Verificare che la regola di accesso alla rete predefinita per gli account Archiviazione sia impostata su Nega

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Gli account di archiviazione devono limitare l'accesso alla rete	L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici	Audit, Deny, Disabled	1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale	Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione.	Audit, Deny, Disabled	1.0.1

Assicurarsi che l'opzione "Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione" sia abilitata per l'accesso all'account Archiviazione

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 3.9 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili	Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione.	Audit, Deny, Disabled	1.0.0

4.1

Assicurarsi che "Controllo" sia impostato su "Attivato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
È consigliabile abilitare il controllo in SQL Server	Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo.	AuditIfNotExists, Disabled	2.0.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che nessun database SQL di Azure consenta l'ingresso da 0.0.0.0/0 (QUALSIASI IP)

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato	La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale.	Audit, Deny, Disabled	1.1.0

Assicurarsi che la protezione Transparent Data Encryption (TDE) di SQL Server sia crittografata con chiave gestita dal cliente

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi	L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato.	Audit, Deny, Disabled	2.0.1

Assicurarsi che l'amministratore di Azure Active Directory sia configurato per SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL	Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft	AuditIfNotExists, Disabled	1.0.0
Automatizzare la gestione degli account	CMA_0026 - Automatizzare la gestione degli account	Manuale, Disabilitato	1.1.0
Gestire gli account di sistema e amministratore	CMA_0368 - Gestire gli account di sistema e amministratore	Manuale, Disabilitato	1.1.0
Monitorare l'accesso all'intera organizzazione	CMA_0376 - Monitorare l'accesso all'intera organizzazione	Manuale, Disabilitato	1.1.0
Notifica quando l'account non è necessario	CMA_0383 - Notifica quando l'account non è necessario	Manuale, Disabilitato	1.1.0

Assicurarsi che "Crittografia dati" sia impostato su "Attivato" in un database SQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
È consigliabile abilitare Transparent Data Encryption nei database SQL	Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità	AuditIfNotExists, Disabled	2.0.0

Assicurarsi che il periodo di conservazione dei dati di controllo sia "superiore a 90 giorni"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.1.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
Gestire e monitorare le attività di elaborazione dei controlli	CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli	Manuale, Disabilitato	1.1.0
Conservare criteri e procedure di sicurezza	CMA_0454 - Mantenere criteri e procedure di sicurezza	Manuale, Disabilitato	1.1.0
Conservare i dati utente terminati	CMA_0455 - Conservare i dati utente terminati	Manuale, Disabilitato	1.1.0
I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore	Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi.	AuditIfNotExists, Disabled	3.0.0

4.2

Assicurarsi che Microsoft Defender per SQL sia impostato su "On" per SQL Server critici

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti	Controlla server SQL senza Sicurezza dei dati avanzata	AuditIfNotExists, Disabled	2.0.1
Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette	Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata.	AuditIfNotExists, Disabled	1.0.2
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0

Assicurarsi che la valutazione della vulnerabilità (VA) sia abilitata in un server SQL impostando un account di archiviazione

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL	Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

Assicurarsi che l'impostazione di Valutazione della vulnerabilità (VA) "Analisi ricorrenti periodiche" sia impostata su "on" per ogni SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL	Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	1.0.1

Verificare che l'impostazione di Valutazione della vulnerabilità (VA) "Invia report di analisi a" sia configurata per un SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Correlare le informazioni sull'analisi della vulnerabilità	CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità	Manuale, Disabilitato	1.1.1
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

Assicurarsi che l'impostazione di Valutazione della vulnerabilità (VA) "Invia anche notifiche tramite posta elettronica agli amministratori e ai proprietari delle sottoscrizioni" sia impostata per ogni SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.2.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Correlare le informazioni sull'analisi della vulnerabilità	CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità	Manuale, Disabilitato	1.1.1
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
I risultati delle vulnerabilità devono essere risolti nei database SQL	Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database.	AuditIfNotExists, Disabled	4.1.0
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL	Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database.	AuditIfNotExists, Disabled	3.0.0

4.3

Assicurarsi che il criterio "Imponi connessione SSL" sia abilitato per il server di database PostgreSQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL	Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Verificare che il parametro server 'log_checkpoints' sia impostato su 'ON' per Postgre database SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL	Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata.	AuditIfNotExists, Disabled	1.0.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che il parametro del server "log_connections" sia impostato su "Sì" per il server di database PostgreSQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL	Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata.	AuditIfNotExists, Disabled	1.0.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che il parametro del server "log_disconnections" sia impostato su "Sì" per il server di database PostgreSQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL.	Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata.	AuditIfNotExists, Disabled	1.0.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che il parametro del server "connection_throttling" sia impostato su "Sì" per il server di database PostgreSQL

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 4.3.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata	Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida.	AuditIfNotExists, Disabled	1.0.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Verificare che il parametro server 'log_retention_days' sia maggiore di 3 giorni per Postgre database SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
Gestire e monitorare le attività di elaborazione dei controlli	CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli	Manuale, Disabilitato	1.1.0
Conservare criteri e procedure di sicurezza	CMA_0454 - Mantenere criteri e procedure di sicurezza	Manuale, Disabilitato	1.1.0
Conservare i dati utente terminati	CMA_0455 - Conservare i dati utente terminati	Manuale, Disabilitato	1.1.0

Assicurarsi che "Consenti l'accesso ai servizi di Azure" per Postgre database SQL Server sia disabilitato

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server flessibili PostgreSQL	La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale.	Audit, Deny, Disabled	3.0.1
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL	Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale.	Audit, Deny, Disabled	2.0.1

Verificare che "Crittografia doppia infrastruttura" per Postgre database SQL Server sia "Abilitato"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.3.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL	Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2	Audit, Deny, Disabled	1.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0

4.4

Verificare che "Imponi connessione SSL" sia impostato su "Abilitato" per Il server My standard database SQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.4.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL	Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database.	Audit, Disabled	1.0.1
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Verificare che 'VERSIONE TLS' sia impostata su 'TLSV1.2' per il server di database flessibile MySQL

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.4.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

4.5

Assicurarsi che "Firewall e reti" sia limitato all'uso di reti selezionate anziché di tutte le reti

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.5.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Per gli account di Azure Cosmos DB devono essere definite regole del firewall	Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi.	Audit, Deny, Disabled	2.0.0

Assicurarsi che gli endpoint privati vengano usati laddove possibile

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 4.5.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Gli account Cosmos DB devono usare collegamenti privati	Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Disabled	1.0.0

Se possibile, usare l'autenticazione client di Azure Active Directory (AAD) e il controllo degli accessi in base al ruolo di Azure.

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 4.5.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Per gli account di database Cosmos DB i metodi di autenticazione locale devono essere disabilitati	La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Audit, Deny, Disabled	1.1.0

5.1

Assicurarsi che esista un'impostazione di diagnostica

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0

Assicurarsi che l'impostazione di diagnostica acquisisca le categorie appropriate

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	3.0.0
Per operazioni di sicurezza specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Configurare le funzionalità di controllo di Azure	CMA_C1108 - Configurare le funzionalità di controllo di Azure	Manuale, Disabilitato	1.1.1
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Verificare che il contenitore Archiviazione che archivia i log attività non sia accessibile pubblicamente

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito	L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario.	audit, Audit, Deny, Deny, disabled, Disabled	3.1.0-preview
Abilitare l'autorizzazione doppia o congiunta	CMA_0226 - Abilitare l'autorizzazione doppia o congiunta	Manuale, Disabilitato	1.1.0
Proteggere le informazioni di controllo	CMA_0401 - Proteggere le informazioni di controllo	Manuale, Disabilitato	1.1.0

Verificare che l'account di archiviazione contenente il contenitore con i log attività sia crittografato con la chiave gestita dal cliente

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Abilitare l'autorizzazione doppia o congiunta	CMA_0226 - Abilitare l'autorizzazione doppia o congiunta	Manuale, Disabilitato	1.1.0
Mantenere l'integrità del sistema di controllo	CMA_C1133 - Mantenere l'integrità del sistema di controllo	Manuale, Disabilitato	1.1.0
Proteggere le informazioni di controllo	CMA_0401 - Proteggere le informazioni di controllo	Manuale, Disabilitato	1.1.0
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK	Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Verificare che la registrazione per Azure Key Vault sia abilitata

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
I log delle risorse devono essere abilitati in Key Vault	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

Assicurarsi che i log del flusso del gruppo di sicurezza di rete vengano acquisiti e inviati a Log Analytics

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.1.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Tutte le risorse del log del flusso devono essere in stato abilitato	Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora.	Audit, Disabled	1.0.1
Configurazione dei log dei flussi di controllo per ogni rete virtuale	Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora.	Audit, Disabled	1.0.1
I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete	Controllare che i gruppi di sicurezza di rete verifichino se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora.	Audit, Disabled	1.1.0

5,2

Assicurarsi che esista un avviso del log attività per l'assegnazione di criteri di creazione

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	3.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che l'avviso del log attività esista per l'assegnazione dei criteri di eliminazione

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni dei criteri specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	3.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento del gruppo di sicurezza di rete

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per l'eliminazione del gruppo di sicurezza di rete

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento di una soluzione di sicurezza

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per l'eliminazione di una soluzione di sicurezza

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per la creazione o l'aggiornamento della regola del firewall di SQL Server

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

Assicurarsi che esista un avviso del log attività per eliminare la regola del firewall di SQL Server

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.2.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Per operazioni amministrative specifiche deve esistere un avviso del log attività	Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività.	AuditIfNotExists, Disabled	1.0.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0

5

Assicurarsi che la registrazione delle risorse di Monitoraggio di Azure sia abilitata per tutti i servizi che la supportano

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 5.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
servizio app le app devono avere i log delle risorse abilitati	Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa.	AuditIfNotExists, Disabled	2.0.1
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Configurare le funzionalità di controllo di Azure	CMA_C1108 - Configurare le funzionalità di controllo di Azure	Manuale, Disabilitato	1.1.1
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Gestire e monitorare le attività di elaborazione dei controlli	CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli	Manuale, Disabilitato	1.1.0
È necessario abilitare i log delle risorse in Azure Data Lake Store	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
È necessario abilitare i log delle risorse negli account Batch	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in Data Lake Analytics devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse nell'hub eventi devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in hub IoT devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	3.1.0
I log delle risorse devono essere abilitati in Key Vault	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in App per la logica devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in bus di servizio devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
Conservare criteri e procedure di sicurezza	CMA_0454 - Mantenere criteri e procedure di sicurezza	Manuale, Disabilitato	1.1.0
Conservare i dati utente terminati	CMA_0455 - Conservare i dati utente terminati	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0

6

Assicurarsi che l'accesso RDP da Internet venga valutato e limitato

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 6.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0

Assicurarsi che l'accesso SSH da Internet venga valutato e limitato

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 6.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile chiudere le porte di gestione nelle macchine virtuali	Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale.	AuditIfNotExists, Disabled	3.0.0

Assicurarsi che il periodo di conservazione del log del flusso del gruppo di sicurezza di rete sia "maggiore di 90 giorni"

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 6.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Rispettare i periodi di conservazione definiti	CMA_0004 - Rispettare i periodi di conservazione definiti	Manuale, Disabilitato	1.1.0
Conservare criteri e procedure di sicurezza	CMA_0454 - Mantenere criteri e procedure di sicurezza	Manuale, Disabilitato	1.1.0
Conservare i dati utente terminati	CMA_0455 - Conservare i dati utente terminati	Manuale, Disabilitato	1.1.0

Assicurarsi che Network Watcher sia abilitato

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 6.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Verificare le funzioni di sicurezza	CMA_C1708 - Verificare le funzioni di sicurezza	Manuale, Disabilitato	1.1.0

7

Assicurarsi che Macchine virtuali usi Managed Disks

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 7.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati	Manuale, Disabilitato	1.1.0
Esaminare l'attività e l'analisi delle etichette	CMA_0474 - Esaminare l'attività e l'analisi delle etichette	Manuale, Disabilitato	1.1.0

Assicurarsi che i dischi "sistema operativo e dati" siano crittografati con la chiave gestita dal cliente (CMK)

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione	Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Disabled	2.0.3

Assicurarsi che i dischi non collegati siano crittografati con "Chiave gestita dal cliente" (CMK)

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 7.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente	I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption.	Audit, Deny, Disabled	1.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0

Assicurarsi che siano installate solo le estensioni approvate

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Devono essere installate solo le estensioni macchina virtuale approvate	Questo criterio regolamenta le estensioni macchina virtuale non approvate.	Audit, Deny, Disabled	1.0.0

Assicurarsi che Endpoint Protection per tutte le Macchine virtuali sia installato

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 7.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB	CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB	Manuale, Disabilitato	1.1.0
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Endpoint Protection deve essere installato nei computer	Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection.	AuditIfNotExists, Disabled	1.0.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Esaminare il report rilevamenti malware settimanalmente	CMA_0475 - Esaminare il report rilevamenti malware settimanalmente	Manuale, Disabilitato	1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana	CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana	Manuale, Disabilitato	1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0
Aggiornare le definizioni antivirus	CMA_0517 - Aggiornare le definizioni antivirus	Manuale, Disabilitato	1.1.0
Verificare l'integrità del software, del firmware e delle informazioni	CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni	Manuale, Disabilitato	1.1.0

[Legacy] Assicurarsi che i dischi rigidi virtuali siano crittografati

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 7.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Stabilire una procedura di gestione della perdita di dati	CMA_0255 - Stabilire una procedura di gestione della perdita di dati	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0

8

Assicurarsi che la data di scadenza sia impostata per tutte le chiavi negli insiemi di credenziali delle chiavi di controllo degli accessi in base al ruolo

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza	Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata.	Audit, Deny, Disabled	1.0.2
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che la data di scadenza sia impostata per tutte le chiavi in Insiemi di credenziali delle chiavi non controllo degli accessi in base al ruolo.

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza	Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata.	Audit, Deny, Disabled	1.0.2
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che la data di scadenza sia impostata per tutti i segreti negli insiemi di credenziali delle chiavi di controllo degli accessi in base al ruolo

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza	I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata.	Audit, Deny, Disabled	1.0.2
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che la data di scadenza sia impostata per tutti i segreti in Insiemi di credenziali delle chiavi non controllo degli accessi in base al ruolo

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 8.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza	I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata.	Audit, Deny, Disabled	1.0.2
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che l'insieme di credenziali delle chiavi sia recuperabile

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi	L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita.	Audit, Deny, Disabled	2.1.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea	L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile.	Audit, Deny, Disabled	3.0.0

Abilitare il controllo degli accessi in base al ruolo per Azure Key Vault

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 8.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Azure Key Vault deve usare il modello di autorizzazione di controllo degli accessi in base al ruolo	Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Audit, Deny, Disabled	1.0.1

Assicurarsi che gli endpoint privati vengano usati per Azure Key Vault

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 8.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Le istanze di Azure Key Vault devono usare collegamenti privati	collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Assicurarsi che la rotazione automatica delle chiavi sia abilitata in Azure Key Vault per i servizi supportati

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 8.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Le chiavi devono disporre di un criterio di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione.	Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato.	Audit, Disabled	1.0.0

9

Assicurarsi che servizio app l'autenticazione sia configurata per le app nel servizio app Azure

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.1 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono avere l'autenticazione abilitata	app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare quelle con token prima di raggiungere l'app Web.	AuditIfNotExists, Disabled	2.0.1
Eseguire l'autenticazione al modulo di crittografia	CMA_0021 - Eseguire l'autenticazione al modulo di crittografia	Manuale, Disabilitato	1.1.0
Applicare l'univocità dell'utente	CMA_0250 - Imporre l'univocità dell'utente	Manuale, Disabilitato	1.1.0
Per le app per le funzioni deve essere abilitata l'autenticazione	app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare quelle con token prima di raggiungere l'app per le funzioni.	AuditIfNotExists, Disabled	3.0.0
Supportare le credenziali di verifica personali rilasciate dalle autorità legali	CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali	Manuale, Disabilitato	1.1.0

Verificare che le distribuzioni FTP siano disabilitate

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.10 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono richiedere solo FTPS	Abilitare l'applicazione FTPS per una maggiore sicurezza.	AuditIfNotExists, Disabled	3.0.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Assicurarsi che gli insiemi di credenziali delle chiavi di Azure vengano usati per archiviare i segreti

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.11 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche	Manuale, Disabilitato	1.1.0
Determinare i requisiti di asserzione	CMA_0136 - Determinare i requisiti di asserzione	Manuale, Disabilitato	1.1.0
Verificare che i meccanismi di crittografia siano in gestione della configurazione	CMA_C1199 - Assicurarsi che i meccanismi di crittografia siano in gestione della configurazione	Manuale, Disabilitato	1.1.0
Rilasciare certificati a chiave pubblica	CMA_0347 - Rilasciare certificati a chiave pubblica	Manuale, Disabilitato	1.1.0
Mantenere la disponibilità delle informazioni	CMA_C1644 - Mantenere la disponibilità delle informazioni	Manuale, Disabilitato	1.1.0
Gestire le chiavi crittografiche simmetriche	CMA_0367 - Gestire chiavi crittografiche simmetriche	Manuale, Disabilitato	1.1.0
Limitare l'accesso alle chiavi private	CMA_0445 - Limitare l'accesso alle chiavi private	Manuale, Disabilitato	1.1.0

Assicurarsi che l'app Web reindirizzi tutto il traffico HTTP a HTTPS nel servizio app Azure

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.2 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono essere accessibili solo tramite HTTPS	L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete.	Audit, Disabled, Deny	4.0.0
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Assicurarsi che l'app Web usi la versione più recente della crittografia TLS

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.3 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono usare la versione più recente di TLS	Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.0.1
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono usare la versione più recente di TLS	Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente.	AuditIfNotExists, Disabled	2.0.1
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app Web sia impostata su "Sì"

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.4 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
[Deprecato]: servizio app le app devono avere 'Certificati client (certificati client in ingresso)' abilitati	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecato
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)"	I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client.	Audit, Disabled	3.1.0-deprecato
Eseguire l'autenticazione al modulo di crittografia	CMA_0021 - Eseguire l'autenticazione al modulo di crittografia	Manuale, Disabilitato	1.1.0

Assicurarsi che l'opzione Registra con Azure Active Directory sia abilitata nel Servizio app

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.5 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono usare l'identità gestita	Usare un'identità gestita per la protezione avanzata dell'autenticazione	AuditIfNotExists, Disabled	3.0.0
Automatizzare la gestione degli account	CMA_0026 - Automatizzare la gestione degli account	Manuale, Disabilitato	1.1.0
Le app per le funzioni devono usare l'identità gestita	Usare un'identità gestita per la protezione avanzata dell'autenticazione	AuditIfNotExists, Disabled	3.0.0
Gestire gli account di sistema e amministratore	CMA_0368 - Gestire gli account di sistema e amministratore	Manuale, Disabilitato	1.1.0
Monitorare l'accesso all'intera organizzazione	CMA_0376 - Monitorare l'accesso all'intera organizzazione	Manuale, Disabilitato	1.1.0
Notifica quando l'account non è necessario	CMA_0383 - Notifica quando l'account non è necessario	Manuale, Disabilitato	1.1.0

Assicurarsi che la "versione PHP" sia la più recente, se usata per eseguire l'app Web

ID: CIS Microsoft Azure Foundations Benchmark raccomandazione 9.6 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app slot di app che usano PHP devono usare una "versione PHP" specificata	Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di PHP per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti.	AuditIfNotExists, Disabled	1.0.0
servizio app app che usano PHP devono usare una 'versione PHP' specificata	Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di PHP per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti.	AuditIfNotExists, Disabled	3.2.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0

Assicurarsi che la "versione python" sia la versione stabile più recente, se usata per eseguire l'app Web

ID: Raccomandazione CIS Microsoft Azure Foundations Benchmark 9.7 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app slot di app che usano Python devono usare una "versione Python" specificata	Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Python per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti.	AuditIfNotExists, Disabled	1.0.0
servizio app app che usano Python devono usare una "versione Python" specificata	Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Python per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti.	AuditIfNotExists, Disabled	4.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0

Assicurarsi che la 'versione Java' sia la più recente, se usata per eseguire l'app Web

ID: RACCOMANDAZIONE CIS Microsoft Azure Foundations Benchmark 9.8 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
Gli slot dell'app per le funzioni che usano Java devono usare una 'versione Java' specificata	Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti.	AuditIfNotExists, Disabled	1.0.0
Le app per le funzioni che usano Java devono usare una 'versione Java' specificata	Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti.	AuditIfNotExists, Disabled	3.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0

Assicurarsi che "Versione HTTP" sia la versione più recente, se usata per eseguire l'app Web

ID: raccomandazione CIS Microsoft Azure Foundations Benchmark 9.9 Proprietà: Condiviso

Nome (Portale di Azure)	Descrizione	Effetti	Versione (GitHub)
servizio app le app devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Le app per le funzioni devono usare la versione HTTP più recente	Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione.	AuditIfNotExists, Disabled	4.0.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure:

• Panoramica della Conformità con le normative.
• Vedere la struttura della definizione dell'iniziativa.
• Vedere altri esempi in Esempi di Criteri di Azure.
• Leggere Informazioni sugli effetti di Criteri.
• Informazioni su come correggere le risorse non conformi.