Dettagli dell'iniziativa predefinita NIST SP 800-53 Rev. 5 (Azure per enti pubblici)
L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita Criteri di Azure Conformità alle normative ai domini di conformità e ai controlli in NIST SP 800-53 Rev. 5 (Azure per enti pubblici). Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli NIST SP 800-53 Rev. 5 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Trovare e selezionare quindi la definizione dell'iniziativa predefinita NIST SP 800-53 Rev. 5 Regulatory Compliance.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
Controllo dell’accesso
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AC-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1000 - Requisiti di criteri e procedure Controllo di accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1001 - Requisiti di criteri e procedure Controllo di accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Gestione degli account
ID: NIST SP 800-53 Rev. 5 AC-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1002 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1003 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1004 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1005 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1006 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1007 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1008 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1009 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1010 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1011 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1012 - Gestione account | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1022 - Gestione account | Terminazione delle credenziali dell'account condiviso/gruppo | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Gestione automatica degli account del sistema
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Controllo gestito da Microsoft 1013 - Gestione account | Gestione automatica degli account di sistema | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Gestione automatica degli account temporanei e di emergenza
ID: NIST SP 800-53 Rev. 5 AC-2 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1014 - Gestione account | Rimozione di account temporanei/di emergenza | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Disabilitare gli account
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1015 - Gestione account | Disabilitare gli account inattivi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Azioni di controllo automatizzate
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1016 - Gestione account | Azioni di controllo automatizzate | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Disconnessione inattività
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1017 - Gestione account | Disconnessione inattività | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Account utente con privilegi
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Controllo gestito da Microsoft 1018 - Gestione account | Schemi basati sui ruoli | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1019 - Gestione account | Schemi basati sui ruoli | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1020 - Gestione account | Schemi basati sui ruoli | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Restrizioni sull'uso di account condivisi e di gruppo
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1021 - Gestione account | Restrizioni sull'uso di account condivisi/di gruppo | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Condizioni di utilizzo
ID: NIST SP 800-53 Rev. 5 AC-2 (11) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1023 - Gestione account | Condizioni di utilizzo | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Monitoraggio degli account per l'utilizzo atipico
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1024 - Gestione account | Monitoraggio account/Utilizzo atipico | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1025 - Gestione account | Monitoraggio account/Utilizzo atipico | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Disabilitare gli account per utenti a rischio elevato
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1026 - Gestione account | Disabilitare gli account per utenti ad alto rischio | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Applicazione dell'accesso
ID: NIST SP 800-53 Rev. 5 AC-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 1.4.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1027 - Applicazione dell'accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
Controllo degli accessi in base al ruolo
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
Applicazione del controllo dei flussi di informazioni
ID: NIST SP 800-53 Rev. 5 AC-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1028 - Applicazione del controllo dei flussi di informazioni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Controllo flusso di informazioni dinamiche
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Filtri per i criteri di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1029 - Imposizione del flusso di informazioni | Filtri dei criteri di sicurezza | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Separazione fisica o logica dei flussi di informazioni
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1030 - Imposizione del flusso di informazioni | Separazione fisica/logica dei flussi di informazioni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Separazione dei compiti
ID: NIST SP 800-53 Rev. 5 AC-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1031 - Separazione dei compiti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1032 - Separazione dei compiti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1033 - Separazione dei compiti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Privilegi minimi
ID: NIST SP 800-53 Rev. 5 AC-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Controllo gestito da Microsoft 1034 - Privilegi minimi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Autorizzare l'accesso alle funzioni di sicurezza
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1035 - Privilegio minimo | Autorizzare l'accesso alle funzioni di sicurezza | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Accesso senza privilegi per funzioni non di sicurezza
ID: NIST SP 800-53 Rev. 5 AC-6 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1036 - Privilegi minimi | Accesso senza privilegi per funzioni di non sicurezza | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Accesso di rete ai comandi con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (3) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1037 - Privilegi minimi | Accesso di rete ai comandi con privilegi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Account con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1038 - Privilegi minimi | Account con privilegi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Verifica dei privilegi utente
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Controllo gestito da Microsoft 1039 - Privilegi minimi | Verifica dei privilegi utente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1040 - Privilegi minimi | Verifica dei privilegi utente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Livelli di privilegio per l'esecuzione del codice
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1041 - Privilegi minimi | Livelli di privilegio per l'esecuzione del codice | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Uso dei log di Funzioni con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1042 - Privilegi minimi | Controllo dell'uso di funzioni con privilegi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Impedire agli utenti senza privilegi di eseguire funzioni con privilegi
ID: NIST SP 800-53 Rev. 5 AC-6 (10) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1043 - Privilegi minimi | Impedire agli utenti senza privilegi di eseguire funzioni con privilegi | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Tentativi di accesso non riusciti
ID: NIST SP 800-53 Rev. 5 AC-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1044 - Tentativi di accesso non riusciti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1045 - Tentativi di accesso non riusciti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Ripulitura o cancellazione del dispositivo mobile
ID: NIST SP 800-53 Rev. 5 AC-7 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1046 - Tentativi di accesso non riusciti | Ripulitura/Cancellazione del dispositivo mobile | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Notifica sull'uso del sistema
ID: NIST SP 800-53 Rev. 5 AC-8 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1047 - Notifica sull'uso del sistema | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1048 - Notifica sull'uso del sistema | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1049 - Notifica sull'uso del sistema | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Controllo delle sessioni simultanee
ID: NIST SP 800-53 Rev. 5 AC-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1050 - Controllo delle sessioni simultanee | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Blocco del dispositivo
ID: NIST SP 800-53 Rev. 5 AC-11 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1051 - Blocco della sessione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1052 - Blocco della sessione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Visualizzazione nascosta da criteri
ID: NIST SP 800-53 Rev. 5 AC-11 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1053 - Blocco sessione | Schermi nascosti da criteri | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Terminazione della sessione
ID: NIST SP 800-53 Rev. 5 AC-12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1054 - Terminazione della sessione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Logout avviati dall'utente
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1055 - Terminazione della sessione | Logouts/Message Display avviati dall'utente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1056 - Terminazione della sessione | Logouts/Message Display avviati dall'utente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Azioni consentite senza identificazione o autenticazione
ID: NIST SP 800-53 Rev. 5 AC-14 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1057 - Azioni consentite senza identificazione o autenticazione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1058 - Azioni consentite senza identificazione o autenticazione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Attributi di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 AC-16 Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
Accesso remoto
ID: NIST SP 800-53 Rev. 5 AC-17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 1.4.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1059 - Accesso remoto | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1060 - Accesso remoto | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Monitoraggio e controllo
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 1.4.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1061 - Accesso remoto | Monitoraggio/controllo automatizzato | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Protezione della riservatezza e dell'integrità tramite la crittografia
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1062 - Accesso remoto | Protezione della riservatezza/integrità tramite la crittografia | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Punti di Controllo di accesso gestiti
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1063 - Accesso remoto | Punti di Controllo di accesso gestiti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Comandi con privilegi e accesso
ID: NIST SP 800-53 Rev. 5 AC-17 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1064 - Accesso remoto | Comandi con privilegi/Accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1065 - Accesso remoto | Comandi con privilegi/Accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Disconnettere o disabilitare l'accesso
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1066 - Accesso remoto | Disconnettere/disabilitare l'accesso | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Accesso wireless
ID: NIST SP 800-53 Rev. 5 AC-18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1067 - Restrizioni di accesso wireless | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1068 - Restrizioni di accesso wireless | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Autenticazione e crittografia
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1069 - Restrizioni di accesso wireless | Autenticazione e crittografia | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Disabilitare la rete wireless
ID: NIST SP 800-53 Rev. 5 AC-18 (3) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1070 - Restrizioni di accesso wireless | Disabilitare la rete wireless | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Limitare le configurazioni da parte degli utenti
ID: NIST SP 800-53 Rev. 5 AC-18 (4) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1071 - Restrizioni di accesso wireless | Limitare le configurazioni per utenti | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Antenne e livelli di potenza di trasmissione
ID: NIST SP 800-53 Rev. 5 AC-18 (5) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1072 - Restrizioni di accesso wireless | Antenne/Livelli di potenza di trasmissione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Controllo di accesso per dispositivi mobili
ID: NIST SP 800-53 Rev. 5 AC-19 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1073 - Controllo di accesso per sistemi portatili e mobili | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1074 - Controllo di accesso per sistemi portatili e mobili | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Crittografia completa basata su dispositivo o contenitore
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1075 - Controllo di accesso per sistemi portatili e mobili | Crittografia completa basata su dispositivo/contenitore | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Uso di sistemi esterni
ID: NIST SP 800-53 Rev. 5 AC-20 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1076 - Uso di sistemi informatici esterni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1077 - Uso di sistemi informatici esterni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Limiti per l'uso autorizzato
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1078 - Uso di sistemi informativi esterni | Limiti all'uso autorizzato | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1079 - Uso di sistemi informativi esterni | Limiti all'uso autorizzato | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Dispositivi portabili Archiviazione ??? Uso con restrizioni
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1080 - Uso di sistemi informativi esterni | Dispositivi portabili Archiviazione | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Condivisione delle informazioni
ID: NIST SP 800-53 Rev. 5 AC-21 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1081 - Condivisione delle informazioni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1082 - Condivisione delle informazioni | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Contenuto accessibile pubblicamente
ID: NIST SP 800-53 Rev. 5 AC-22 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1083 - Contenuto accessibile pubblicamente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1084 - Contenuto accessibile pubblicamente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1085 - Contenuto accessibile pubblicamente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1086 - Contenuto accessibile pubblicamente | Microsoft implementa questo controllo di Controllo di accesso | controllo | 1.0.0 |
Consapevolezza e formazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AT-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1087 - Criteri e procedure di sensibilizzazione e formazione in materia di sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1088 - Criteri e procedure di sensibilizzazione e formazione in materia di sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Formazione e sensibilizzazione per l'alfabetizzazione
ID: NIST SP 800-53 Rev. 5 AT-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1089 - Riconoscimento della sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1090 - Riconoscimento della sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1091 - Consapevolezza della sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Minaccia Insider
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1092 - Consapevolezza della sicurezza | Minaccia Insider | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Formazione basata sui ruoli
ID: NIST SP 800-53 Rev. 5 AT-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1093 - Formazione in materia di sicurezza basata sui ruoli | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1094 - Formazione in materia di sicurezza basata sui ruoli | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1095 - Formazione in materia di sicurezza basata sui ruoli | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Esercizi pratici
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1096 - Formazione sulla sicurezza basata sui ruoli | Esercizi pratici | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Record di training
ID: NIST SP 800-53 Rev. 5 AT-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1098 - Record della formazione in materia di sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1099 - Record della formazione in materia di sicurezza | Microsoft implementa questo controllo di sensibilizzazione e formazione | controllo | 1.0.0 |
Controllo e responsabilità
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 AU-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1100 - Criteri e procedure di controllo e responsabilità | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1101 - Criteri e procedure di controllo e responsabilità | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Registrazione eventi
ID: NIST SP 800-53 Rev. 5 AU-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1102 - Eventi di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1103 - Eventi di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1104 - Eventi di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1105 - Eventi di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1106 - Eventi di controllo | Recensioni e Aggiornamenti | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Contenuto dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1107 - Contenuto dei record di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Informazioni aggiuntive sul controllo
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1108 - Contenuto dei record di controllo | Informazioni aggiuntive sul controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Capacità Archiviazione log di controllo
ID: NIST SP 800-53 Rev. 5 AU-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1110 - Capacità di archiviazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Risposta agli errori del processo di registrazione di controllo
ID: NIST SP 800-53 Rev. 5 AU-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1111 - Risposta a errori di elaborazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1112 - Risposta a errori di elaborazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Avviso di capacità Archiviazione
ID: NIST SP 800-53 Rev. 5 AU-5 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1113 - Risposta agli errori di elaborazione dei controlli | Audit Archiviazione Capacity | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Avvisi in tempo reale
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1114 - Risposta agli errori di elaborazione del controllo | Avvisi in tempo reale | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Verifica, analisi e report dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1115 - Verifica, analisi e report di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1116 - Verifica, analisi e report di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1123 - Revisione, analisi e creazione di report di controllo | Regolazione del livello di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Integrazione automatizzata dei processi
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1117 - Revisione, analisi e creazione di report di controllo | Integrazione dei processi | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Correlare i repository di record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1118 - Revisione, analisi e creazione di report di controllo | Correlare i repository di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Revisione centrale e analisi
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1119 - Revisione, analisi e creazione di report di controllo | Revisione e analisi centrali | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
| I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Analisi integrata dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1120 - Revisione, analisi e report di controllo | Funzionalità di integrazione/analisi e monitoraggio | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
| I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Correlazione con il monitoraggio fisico
ID: NIST SP 800-53 Rev. 5 AU-6 (6) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1121 - Revisione, analisi e creazione di report di controllo | Correlazione con il monitoraggio fisico | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Azioni consentite
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1122 - Revisione, analisi e report di controllo | Azioni consentite | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Riduzione dei record di controllo e generazione di report
ID: NIST SP 800-53 Rev. 5 AU-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1124 - Riduzione del controllo e generazione di report | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1125 - Riduzione del controllo e generazione di report | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Elaborazione automatica
ID: NIST SP 800-53 Rev. 5 AU-7 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1126 - Riduzione del controllo e generazione di report | Elaborazione automatica | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Timestamp
ID: NIST SP 800-53 Rev. 5 AU-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1127 - Timestamp | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1128 - Timestamp | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Protezione delle informazioni di controllo
ID: NIST SP 800-53 Rev. 5 AU-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1131 - Protezione delle informazioni di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Archiviare in sistemi fisici o componenti separati
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1132 - Protezione delle informazioni di controllo | Controlla il backup in sistemi fisici/componenti separati | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1133 - Protezione delle informazioni di controllo | Protezione crittografica | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Accesso da parte di subset di utenti con privilegi
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1134 - Protezione delle informazioni di controllo | Accesso per subset di utenti con privilegi | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Non ripudio
ID: NIST SP 800-53 Rev. 5 AU-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1135 - Non ripudio | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Conservazione dei record di controllo
ID: NIST SP 800-53 Rev. 5 AU-11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1136 - Conservazione dei record di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
Generazione di record di controllo
ID: NIST SP 800-53 Rev. 5 AU-12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1137 - Generazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1138 - Generazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1139 - Generazione di controllo | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
| I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Audit trail a livello di sistema e con correlazione al tempo
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1140 - Generazione di controlli | Audit Trail correlato a livello di sistema/ora | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
| I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Modifiche da parte di utenti autorizzati
ID: NIST SP 800-53 Rev. 5 AU-12 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1141 - Generazione di controlli | Modifiche da parte di utenti autorizzati | Microsoft implementa questo controllo di Responsabilità e controllo | controllo | 1.0.0 |
Valutazione, autorizzazione e monitoraggio
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CA-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1142 - Certificazione, autorizzazione, criteri e procedure di valutazione della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1143 - Certificazione, autorizzazione, criteri e procedure di valutazione della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Valutazioni dei controlli
ID: NIST SP 800-53 Rev. 5 CA-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1144 - Valutazioni della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1145 - Valutazioni della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1146 - Valutazioni della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1147 - Valutazioni della sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Valutatori indipendenti
ID: NIST SP 800-53 Rev. 5 CA-2 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1148 - Valutazioni della sicurezza | Valutatori indipendenti | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Valutazioni specializzate
ID: NIST SP 800-53 Rev. 5 CA-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1149 - Valutazioni della sicurezza | Valutazioni specializzate | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Utilizzo dei risultati di organizzazioni esterne
ID: NIST SP 800-53 Rev. 5 CA-2 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1150 - Valutazioni della sicurezza | Organizzazioni esterne | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Scambio di informazioni
ID: NIST SP 800-53 Rev. 5 CA-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1151 - Interconnessioni del sistema | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1152 - Interconnessioni del sistema | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1153 - Interconnessioni del sistema | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Piano di azione e attività cardine
ID: NIST SP 800-53 Rev. 5 CA-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1156 - Piano di azione e attività cardine | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1157 - Piano di azione e attività cardine | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Autorizzazione
ID: NIST SP 800-53 Rev. 5 CA-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1158 - Autorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1159 - Autorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1160 - Autorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Monitoraggio continuo
ID: NIST SP 800-53 Rev. 5 CA-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1161 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1162 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1163 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1164 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1165 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1166 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1167 - Monitoraggio continuo | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Valutazione indipendente
ID: NIST SP 800-53 Rev. 5 CA-7 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1168 - Monitoraggio continuo | Valutazione indipendente | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Analisi delle tendenze
ID: NIST SP 800-53 Rev. 5 CA-7 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1169 - Monitoraggio continuo | Analisi delle tendenze | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Test di penetrazione
ID: NIST SP 800-53 Rev. 5 CA-8 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1170 - Test di penetrazione | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Agente di test di penetrazione indipendente o team
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1171 - Test di penetrazione | Agente di penetrazione indipendente o team | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Connessioni di sistema interne
ID: NIST SP 800-53 Rev. 5 CA-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1172 - Connessioni di sistema interne | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1173 - Connessioni di sistema interne | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
Gestione della configurazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CM-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1174 - Procedure e criteri di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1175 - Procedure e criteri di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Configurazione di base
ID: NIST SP 800-53 Rev. 5 CM-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1176 - Configurazione di base | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1177 - Configurazione di base | Recensioni e Aggiornamenti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1178 - Configurazione di base | Recensioni e Aggiornamenti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1179 - Configurazione di base | Recensioni e Aggiornamenti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Supporto di automazione per accuratezza e valuta
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1180 - Configurazione di base | Supporto di automazione per accuratezza/valuta | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Conservazione delle configurazioni precedenti
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1181 - Configurazione di base | Conservazione delle configurazioni precedenti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Configurare sistemi e componenti per aree ad alto rischio
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1182 - Configurazione di base | Configurare sistemi, componenti o dispositivi per aree ad alto rischio | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1183 - Configurazione di base | Configurare sistemi, componenti o dispositivi per aree ad alto rischio | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Controllo delle modifiche della configurazione
ID: NIST SP 800-53 Rev. 5 CM-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1184 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1185 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1186 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1187 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1188 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1189 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1190 - Controllo delle modifiche della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Documentazione automatizzata, notifica e divieto di modifiche
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Proprietà: Condiviso
Test, convalida e documentazione delle modifiche
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1197 - Controllo delle modifiche della configurazione | Test/Convalida/Modifiche al documento | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Rappresentanti della sicurezza e della privacy
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1198 - Controllo delle modifiche della configurazione | Rappresentante della sicurezza | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Gestione della crittografia
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1199 - Controllo delle modifiche della configurazione | Gestione della crittografia | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Analisi dell'impatto
ID: NIST SP 800-53 Rev. 5 CM-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1200 - Analisi dell'impatto sulla sicurezza | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Ambienti di test separati
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1201 - Analisi dell'impatto sulla sicurezza | Ambienti di test separati | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Restrizioni di accesso per le modifiche
ID: NIST SP 800-53 Rev. 5 CM-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1202 - Restrizioni di accesso per le modifiche | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Applicazione e record di controllo automatizzati per l'accesso
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1203 - Restrizioni di accesso per la modifica | Applicazione/controllo automatizzato dell'accesso | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Limitazione dei privilegi per la produzione e l'operazione
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1206 - Restrizioni di accesso per la modifica | Limitare i privilegi operativi/di produzione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1207 - Restrizioni di accesso per la modifica | Limitare i privilegi operativi/di produzione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Impostazioni di configurazione
ID: NIST SP 800-53 Rev. 5 CM-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. | Audit, Disabled | 3.1.0-deprecato |
| servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.1 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 10.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.5.0 |
| Controllo gestito da Microsoft 1208 - Impostazioni di configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1209 - Impostazioni di configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1210 - Impostazioni di configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1211 - Impostazioni di configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Gestione automatizzata, applicazione e verifica
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1212 - Configurazione Impostazioni | Gestione centrale automatizzata/Applicazione/Verifica | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Rispondere a modifiche non autorizzate
ID: NIST SP 800-53 Rev. 5 CM-6 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1213 - Configurazione Impostazioni | Rispondere a modifiche non autorizzate | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Funzionalità minima
ID: NIST SP 800-53 Rev. 5 CM-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Controllo gestito da Microsoft 1214 - Funzionalità minima | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1215 - Funzionalità minima | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Revisione periodica
ID: NIST SP 800-53 Rev. 5 CM-7 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1216 - Funzionalità minime | Revisione periodica | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1217 - Funzionalità minime | Revisione periodica | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Impedire l'esecuzione del programma
ID: NIST SP 800-53 Rev. 5 CM-7 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1218 - Funzionalità minime | Impedire l'esecuzione del programma | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
??? software autorizzato Consenti per eccezione
ID: NIST SP 800-53 Rev. 5 CM-7 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1219 - Funzionalità minime | Software autorizzato/Inserimento nell'elenco elementi consentiti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1220 - Funzionalità minime | Software autorizzato/Inserimento nell'elenco elementi consentiti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1221 - Funzionalità minime | Software autorizzato/Inserimento nell'elenco elementi consentiti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Inventario dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 CM-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1222 - Inventario dei componenti del sistema informativo | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1223 - Inventario dei componenti del sistema informativo | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1229 - Inventario dei componenti del sistema informativo | Nessuna contabilità duplicata dei componenti | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Aggiornamenti durante l'installazione e la rimozione
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1224 - Inventario dei componenti del sistema informativo | Aggiornamenti durante installazioni/rimozioni | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Manutenzione automatizzata
ID: NIST SP 800-53 Rev. 5 CM-8 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1225 - Inventario dei componenti del sistema informativo | Manutenzione automatizzata | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Rilevamento automatico dei componenti non autorizzati
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1226 - Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1227 - Inventario dei componenti del sistema informativo | Rilevamento automatico dei componenti non autorizzati | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1241 - Software installato dall'utente | Avvisi per installazioni non autorizzate | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Informazioni sulla responsabilità
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1228 - Inventario dei componenti del sistema informativo | Informazioni sulla responsabilità | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Piano di gestione della configurazione
ID: NIST SP 800-53 Rev. 5 CM-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1230 - Piano di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1231 - Piano di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1232 - Piano di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1233 - Piano di gestione della configurazione | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Restrizioni all'uso del software
ID: NIST SP 800-53 Rev. 5 CM-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1234 - Restrizioni all'uso del software | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1235 - Restrizioni all'uso del software | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1236 - Restrizioni all'uso del software | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Software open source
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1237 - Restrizioni sull'utilizzo del software | Open Source Software | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Software installato dall'utente
ID: NIST SP 800-53 Rev. 5 CM-11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1238 - Software installato dall'utente | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1239 - Software installato dall'utente | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1240 - Software installato dall'utente | Microsoft implementa questo controllo di Gestione della configurazione | controllo | 1.0.0 |
Piani di emergenza
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 CP-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1242 - Procedure e criteri di pianificazione di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1243 - Procedure e criteri di pianificazione di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Piano di emergenza
ID: NIST SP 800-53 Rev. 5 CP-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1244 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1245 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1246 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1247 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1248 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1249 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1250 - Piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Coordinarsi con i piani correlati
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1251 - Piano di emergenza | Coordinare con i piani correlati | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Capacity Planning
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1252 - Piano di emergenza | Pianificazione della capacità | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Resume Mission and Business Functions
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1253 - Piano di emergenza | Riprendi missioni essenziali/funzioni aziendali | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1254 - Piano di emergenza | Riprendi tutte le missioni/funzioni aziendali | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Continue Mission and Business Functions
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1255 - Piano di emergenza | Continue Essential Mission/Business Functions | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Identificare gli asset critici
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1256 - Piano di emergenza | Identificare gli asset critici | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Formazione per la gestione delle emergenze
ID: NIST SP 800-53 Rev. 5 CP-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1257 - Formazione per la gestione delle emergenze | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1258 - Formazione per la gestione delle emergenze | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1259 - Formazione per la gestione delle emergenze | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Eventi simulati
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1260 - Formazione sulla emergenza | Eventi simulati | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Test del piano di emergenza
ID: NIST SP 800-53 Rev. 5 CP-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1261 - Test del piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1262 - Test del piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1263 - Test del piano di emergenza | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Coordinarsi con i piani correlati
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1264 - Test del piano di emergenza | Coordinare con i piani correlati | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Sito di elaborazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1265 - Test del piano di emergenza | Sito di elaborazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1266 - Test del piano di emergenza | Sito di elaborazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Sito di archiviazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
| Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
| Controllo gestito da Microsoft 1267 - Sito di archiviazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1268 - Sito di archiviazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Separazione dal sito primario
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
| Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
| Controllo gestito da Microsoft 1269 - Sito di Archiviazione alternativo | Separazione dal sito primario | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Obiettivi del tempo di ripristino e del punto di ripristino
ID: NIST SP 800-53 Rev. 5 CP-6 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1270 - Sito di Archiviazione alternativo | Obiettivi del tempo di ripristino/punto | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Accessibilità
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1271 - Sito di Archiviazione alternativo | Accessibilità | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Sito di elaborazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controllo gestito da Microsoft 1272 - Sito di elaborazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1273 - Sito di elaborazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1274 - Sito di elaborazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Separazione dal sito primario
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1275 - Sito di elaborazione alternativo | Separazione dal sito primario | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Accessibilità
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1276 - Sito di elaborazione alternativo | Accessibilità | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Priorità del servizio
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1277 - Sito di elaborazione alternativo | Priorità del servizio | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Preparazione per l'uso
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1278 - Sito di elaborazione alternativo | Preparazione per l'uso | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Servizi di telecomunicazione
ID: NIST SP 800-53 Rev. 5 CP-8 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1279 - Servizi di telecomunicazione | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Priorità delle disposizioni del servizio
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1280 - Servizi di telecomunicazione | Priorità delle disposizioni del servizio | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1281 - Servizi di telecomunicazione | Priorità delle disposizioni del servizio | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Singoli punti di errore
ID: NIST SP 800-53 Rev. 5 CP-8 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1282 - Servizi di telecomunicazione | Singoli punti di guasto | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Separazione dei provider primari e alternativi
ID: NIST SP 800-53 Rev. 5 CP-8 (3) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1283 - Servizi di telecomunicazione | Separazione dei provider primari/alternativi | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Piano di emergenza del provider
ID: NIST SP 800-53 Rev. 5 CP-8 (4) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1284 - Servizi di telecomunicazione | Piano di emergenza del provider | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1285 - Servizi di telecomunicazione | Piano di emergenza del provider | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1286 - Servizi di telecomunicazione | Piano di emergenza del provider | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Backup di sistema
ID: NIST SP 800-53 Rev. 5 CP-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1287 - Backup del sistema informativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1288 - Backup del sistema informativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1289 - Backup del sistema informativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1290 - Backup del sistema informativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Test dell'affidabilità e dell'integrità
ID: NIST SP 800-53 Rev. 5 CP-9 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1291 - Backup del sistema informativo | Test per affidabilità/integrità | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Eseguire test di ripristino usando il campionamento
ID: NIST SP 800-53 Rev. 5 CP-9 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1292 - Backup del sistema informativo | Eseguire test di ripristino usando il campionamento | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Archiviazione separate per informazioni critiche
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1293 - Backup del sistema informativo | Archiviazione separate per informazioni critiche | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Trasferimento in un sito di Archiviazione alternativo
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1294 - Backup del sistema informativo | Trasferisci al sito di Archiviazione alternativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Ripristino e ricostituzione del sistema
ID: NIST SP 800-53 Rev. 5 CP-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1295 - Ripristino e ricostituzione del sistema informativo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Recupero delle transazioni
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1296 - Ripristino e ricostituzione del sistema informativo | Recupero delle transazioni | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Ripristino entro il periodo di tempo
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1297 - Ripristino e ricostituzione del sistema informativo | Ripristino entro il periodo di tempo | Microsoft implementa questo controllo di Piano di emergenza | controllo | 1.0.0 |
Identificazione e autenticazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 IA-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1298 - Procedure e criteri di identificazione e autenticazione | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1299 - Procedure e criteri di identificazione e autenticazione | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Identificazione e autenticazione (utenti dell'organizzazione)
ID: NIST SP 800-53 Rev. 5 IA-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1300 - Identificazione e autenticazione dell'utente | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Autenticazione a più fattori in account con privilegi
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1301 - Identificazione e autenticazione dell'utente | Accesso di rete agli account con privilegi | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1303 - Identificazione e autenticazione dell'utente | Accesso locale agli account con privilegi | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Autenticazione a più fattori in account senza privilegi
ID: NIST SP 800-53 Rev. 5 IA-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1302 - Identificazione e autenticazione dell'utente | Accesso di rete ad account senza privilegi | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1304 - Identificazione e autenticazione dell'utente | Accesso locale agli account senza privilegi | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Autenticazione singola con autenticazione di gruppo
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1305 - Identificazione e autenticazione dell'utente | Autenticazione di gruppo | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Accesso agli account ??? Replay Resistente
ID: NIST SP 800-53 Rev. 5 IA-2 (8) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1306 - Identificazione e autenticazione dell'utente | Accesso di rete agli account con privilegi - Riproduzione... | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1307 - Identificazione e autenticazione dell'utente | Accesso di rete agli account senza privilegi - Riproduzione... | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Accettazione delle credenziali PIV
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1309 - Identificazione e autenticazione dell'utente | Accettazione delle credenziali Piv | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Identificazione e autenticazione dei dispositivi
ID: NIST SP 800-53 Rev. 5 IA-3 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1310 - Identificazione e autenticazione dei dispositivi | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Gestione identificatori
ID: NIST SP 800-53 Rev. 5 IA-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1311 - Gestione identificatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1312 - Gestione identificatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1313 - Gestione identificatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1314 - Gestione identificatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1315 - Gestione identificatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Identificare lo stato utente
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1316 - Gestione degli identificatori | Identificare lo stato utente | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Gestione autenticatori
ID: NIST SP 800-53 Rev. 5 IA-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 1.4.0 |
| Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Controllo gestito da Microsoft 1317 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1318 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1319 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1320 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1321 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1322 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1323 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1324 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1325 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1326 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Autenticazione basata su password
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 1.3.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 1.4.0 |
| Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 1.1.0 |
| Controlla i computer Windows che non hanno la validità minima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 1.1.0 |
| Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 1.0.0 |
| Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 1.1.0 |
| Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Controllo gestito da Microsoft 1327 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1328 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1329 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1330 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1331 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1332 - Gestione autenticatori | Autenticazione basata su password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1338 - Gestione autenticatori | Supporto automatico per la determinazione della complessità delle password | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Autenticazione basata su chiave pubblica
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1333 - Gestione autenticatori | Autenticazione basata su pki | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1334 - Gestione autenticatori | Autenticazione basata su pki | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1335 - Gestione autenticatori | Autenticazione basata su pki | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1336 - Gestione autenticatori | Autenticazione basata su pki | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Protezione degli autenticatori
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1339 - Gestione autenticatori | Protezione degli autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Nessun autenticatore statico non crittografato incorporato
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1340 - Gestione autenticatori | Nessun autenticatore statico non crittografato incorporato | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Più account di sistema
ID: NIST SP 800-53 Rev. 5 IA-5 (8) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1341 - Gestione autenticatori | Più account del sistema informativo | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Scadenza degli autenticatori memorizzati nella cache
ID: NIST SP 800-53 Rev. 5 IA-5 (13) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1343 - Gestione autenticatori | Scadenza degli autenticatori memorizzati nella cache | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Commenti e suggerimenti per l'autenticazione
ID: NIST SP 800-53 Rev. 5 IA-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1344 - Gestione autenticatori | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Autenticazione del modulo di crittografia
ID: NIST SP 800-53 Rev. 5 IA-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1345 - Autenticazione del modulo di crittografia | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Identificazione e autenticazione (utenti non aziendali)
ID: NIST SP 800-53 Rev. 5 IA-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1346 - Identificazione e autenticazione (Utenti non appartenenti all'organizzazione) | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Accettazione delle credenziali PIV da altre agenzie
ID: NIST SP 800-53 Rev. 5 IA-8 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1347 - Identificazione e autenticazione (utenti non aziendali) | Accettazione delle credenziali Piv... | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Accettazione di autenticatori esterni
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1348 - Identificazione e autenticazione (utenti non aziendali) | Accettazione di terze parti... | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1349 - Identificazione e autenticazione (utenti non aziendali) | Uso di prodotti approvati da Ficam | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Uso di profili definiti
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1350 - Identificazione e autenticazione (utenti non aziendali) | Uso dei profili ficam rilasciati | Microsoft implementa questo controllo di Identificazione e autenticazione | controllo | 1.0.0 |
Risposta all'incidente
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 IR-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1351 - Procedure e criteri di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1352 - Procedure e criteri di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Formazione in materia di risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1353 - Formazione in materia di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1354 - Formazione in materia di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1355 - Formazione in materia di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Eventi simulati
ID: NIST SP 800-53 Rev. 5 IR-2 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1356 - Formazione sulla risposta agli eventi imprevisti | Eventi simulati | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Ambienti di training automatizzati
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1357 - Formazione sulla risposta agli eventi imprevisti | Ambienti di training automatizzati | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Test sulla risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1358 - Test sulla risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Coordinamento con i piani correlati
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1359 - Test delle risposte agli eventi imprevisti | Coordinamento con i piani correlati | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Gestione degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1360 - Gestione degli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1361 - Gestione degli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1362 - Gestione degli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Processi automatizzati di gestione degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1363 - Gestione degli eventi imprevisti | Processi automatizzati di gestione degli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Riconfigurazione dinamica
ID: NIST SP 800-53 Rev. 5 IR-4 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1364 - Gestione degli eventi imprevisti | Riconfigurazione dinamica | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Continuità delle operazioni
ID: NIST SP 800-53 Rev. 5 IR-4 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1365 - Gestione degli eventi imprevisti | Continuità delle operazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Correlazione delle informazioni
ID: NIST SP 800-53 Rev. 5 IR-4 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1366 - Gestione degli eventi imprevisti | Correlazione delle informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Minacce Interne
ID: NIST SP 800-53 Rev. 5 IR-4 (6) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1367 - Gestione degli eventi imprevisti | Minacce Insider - Funzionalità specifiche | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Correlazione con organizzazioni esterne
ID: NIST SP 800-53 Rev. 5 IR-4 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1368 - Gestione degli eventi imprevisti | Correlazione con organizzazioni esterne | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Monitoraggio degli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1369 - Monitoraggio degli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Rilevamento automatizzato, raccolta dati e analisi
ID: NIST SP 800-53 Rev. 5 IR-5 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1370 - Monitoraggio degli eventi imprevisti | Rilevamento automatizzato/Raccolta dati/Analisi | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Creazione di report sugli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-6 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1371 - Creazione di report sugli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1372 - Creazione di report sugli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Creazione di report automatizzati
ID: NIST SP 800-53 Rev. 5 IR-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1373 - Segnalazione eventi imprevisti | Creazione di report automatizzati | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Vulnerabilità correlate agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Assistenza nella risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1374 - Assistenza nella risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Supporto di automazione per la disponibilità di informazioni e supporto
ID: NIST SP 800-53 Rev. 5 IR-7 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1375 - Assistenza per la risposta agli eventi imprevisti | Supporto di automazione per la disponibilità di informazioni/supporto | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Coordinamento con provider esterni
ID: NIST SP 800-53 Rev. 5 IR-7 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1376 - Assistenza per la risposta agli eventi imprevisti | Coordinamento con provider esterni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1377 - Assistenza per la risposta agli eventi imprevisti | Coordinamento con provider esterni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Piano di risposta agli eventi imprevisti
ID: NIST SP 800-53 Rev. 5 IR-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1378 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1379 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1380 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1381 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1382 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1383 - Piano di risposta agli eventi imprevisti | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Risposta alla perdita di informazioni
ID: NIST SP 800-53 Rev. 5 IR-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1384 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1385 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1386 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1387 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1388 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1389 - Risposta alla perdita di informazioni | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1390 - Risposta alla perdita di informazioni | Personale responsabile | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Formazione
ID: NIST SP 800-53 Rev. 5 IR-9 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1391 - Risposta alla perdita di informazioni | Formazione | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Operazioni post-spill
ID: NIST SP 800-53 Rev. 5 IR-9 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1392 - Risposta alla perdita di informazioni | Operazioni post-spill | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Esposizione a personale non autorizzato
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1393 - Risposta alla perdita di informazioni | Esposizione a personale non autorizzato | Microsoft implementa questo controllo di Risposta agli eventi imprevisti | controllo | 1.0.0 |
Gestione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 MA-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1394 - Procedure e criteri di manutenzione dei sistemi | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1395 - Procedure e criteri di manutenzione dei sistemi | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Manutenzione controllata
ID: NIST SP 800-53 Rev. 5 MA-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1396 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1397 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1398 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1399 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1400 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1401 - Manutenzione controllata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Attività di manutenzione automatizzate
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1402 - Manutenzione controllata | Attività di manutenzione automatizzate | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1403 - Manutenzione controllata | Attività di manutenzione automatizzate | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Strumenti di manutenzione
ID: NIST SP 800-53 Rev. 5 MA-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1404 - Strumenti di manutenzione | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Esaminare gli strumenti
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1405 - Strumenti di manutenzione | Esaminare gli strumenti | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Esaminare i supporti
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1406 - Strumenti di manutenzione | Esaminare i supporti | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Impedisci rimozione non autorizzata
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1407 - Strumenti di manutenzione | Impedisci rimozione non autorizzata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1408 - Strumenti di manutenzione | Impedisci rimozione non autorizzata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1409 - Strumenti di manutenzione | Impedisci rimozione non autorizzata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1410 - Strumenti di manutenzione | Impedisci rimozione non autorizzata | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Manutenzione non locale
ID: NIST SP 800-53 Rev. 5 MA-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1411 - Manutenzione remota | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1412 - Manutenzione remota | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1413 - Manutenzione remota | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1414 - Manutenzione remota | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1415 - Manutenzione remota | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Sicurezza e purificazione paragonabili
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1417 - Manutenzione remota | Sicurezza/purificazione paragonabili | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1418 - Manutenzione remota | Sicurezza/purificazione paragonabili | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1419 - Manutenzione remota | Protezione crittografica | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Personale addetto alla manutenzione
ID: NIST SP 800-53 Rev. 5 MA-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1420 - Personale addetto alla manutenzione | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1421 - Personale addetto alla manutenzione | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1422 - Personale addetto alla manutenzione | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Utenti senza accesso appropriato
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1423 - Personale di manutenzione | Utenti senza accesso appropriato | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1424 - Personale di manutenzione | Utenti senza accesso appropriato | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Manutenzione tempestiva
ID: NIST SP 800-53 Rev. 5 MA-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1425 - Manutenzione tempestiva | Microsoft implementa questo controllo di Manutenzione | controllo | 1.0.0 |
Protezione dei supporti
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 MP-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1426 - Procedure e criteri di protezione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1427 - Procedure e criteri di protezione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Accesso ai file multimediali
ID: NIST SP 800-53 Rev. 5 MP-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1428 - Accesso ai supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Contrassegno dei supporti
ID: NIST SP 800-53 Rev. 5 MP-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1429 - Etichettatura multimediale | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1430 - Etichettatura multimediale | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Conservazione dei supporti
ID: NIST SP 800-53 Rev. 5 MP-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1431 - Conservazione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1432 - Conservazione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Trasporto dei supporti
ID: NIST SP 800-53 Rev. 5 MP-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1433 - Trasporto dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1434 - Trasporto dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1435 - Trasporto dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1436 - Trasporto dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Purificazione dei supporti
ID: NIST SP 800-53 Rev. 5 MP-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1438 - Purificazione e eliminazione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1439 - Purificazione e eliminazione dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Esaminare, approvare, tenere traccia, documentare e verificare
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1440 - Purificazione e eliminazione dei supporti | Revisione/Approvazione/Traccia/Documento/Verifica | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Test delle apparecchiature
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1441 - Purificazione e eliminazione dei supporti | Test delle apparecchiature | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Tecniche non distruttive
ID: NIST SP 800-53 Rev. 5 MP-6 (3) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1442 - Purificazione e eliminazione dei supporti | Tecniche non distruttive | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Uso dei supporti
ID: NIST SP 800-53 Rev. 5 MP-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1443 - Uso dei supporti | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1444 - Uso dei supporti | Non usare senza proprietario | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
Protezione fisica e dell'ambiente
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PE-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1445 - Criteri e procedure di protezione fisica e ambientale | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1446 - Criteri e procedure di protezione fisica e ambientale | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Autorizzazioni di accesso fisico
ID: NIST SP 800-53 Rev. 5 PE-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1447 - Autorizzazioni di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1448 - Autorizzazioni di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1449 - Autorizzazioni di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1450 - Autorizzazioni di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Controllo dell'accesso fisico
ID: NIST SP 800-53 Rev. 5 PE-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1451 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1452 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1453 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1454 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1455 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1456 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1457 - Controllo di accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Accesso al sistema
ID: NIST SP 800-53 Rev. 5 PE-3 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1458 - Controllo di accesso fisico | Accesso al sistema informativo | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Controllo di accesso per la trasmissione
ID: NIST SP 800-53 Rev. 5 PE-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1459 - Controllo di accesso per mezzi di trasmissione | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Controllo di accesso per dispositivi di output
ID: NIST SP 800-53 Rev. 5 PE-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1460 - Controllo di accesso per dispositivi di output | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Monitoraggio dell'accesso fisico
ID: NIST SP 800-53 Rev. 5 PE-6 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1461 - Monitoraggio dell'accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1462 - Monitoraggio dell'accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1463 - Monitoraggio dell'accesso fisico | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Allarmi di intrusione e apparecchiature di sorveglianza
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1464 - Monitoraggio dell'accesso fisico | Allarmi intrusioni/Apparecchiature di sorveglianza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Monitoraggio dell'accesso fisico ai sistemi
ID: NIST SP 800-53 Rev. 5 PE-6 (4) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1465 - Monitoraggio dell'accesso fisico | Monitoraggio dell'accesso fisico ai sistemi informativi | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Record di accesso dei visitatori
ID: NIST SP 800-53 Rev. 5 PE-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1466 - Record di accesso dei visitatori | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1467 - Record di accesso dei visitatori | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Manutenzione e revisione dei record automatizzati
ID: NIST SP 800-53 Rev. 5 PE-8 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1468 - Record di accesso visitatori | Manutenzione/revisione dei record automatizzati | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Apparecchiature di alimentazione e cavi
ID: NIST SP 800-53 Rev. 5 PE-9 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1469 - Apparecchiature di alimentazione e cavi | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Arresto di emergenza
ID: NIST SP 800-53 Rev. 5 PE-10 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1470 - Arresto di emergenza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1471 - Arresto di emergenza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1472 - Arresto di emergenza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Alimentazione di emergenza
ID: NIST SP 800-53 Rev. 5 PE-11 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1473 - Alimentazione di emergenza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Alimentazione alternativa ??? Funzionalità operativa minima
ID: NIST SP 800-53 Rev. 5 PE-11 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1474 - Alimentazione di emergenza | Alimentatore alternativo a lungo termine - Capacità operativa minima | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Illuminazione di emergenza
ID: NIST SP 800-53 Rev. 5 PE-12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1475 - Illuminazione di emergenza | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Protezione antincendio
ID: NIST SP 800-53 Rev. 5 PE-13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1476 - Protezione antincendio | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
??? dei sistemi di rilevamento Attivazione automatica e notifica
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1477 - Protezione antincendio | Dispositivi/sistemi di rilevamento | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Sistemi di eliminazione ??? Attivazione automatica e notifica
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1478 - Protezione antincendio | Dispositivi/sistemi di eliminazione | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1479 - Protezione antincendio | Eliminazione automatica degli incendi | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Controlli ambientali
ID: NIST SP 800-53 Rev. 5 PE-14 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1480 - Controlli di temperatura e umidità | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1481 - Controlli di temperatura e umidità | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Monitoraggio con allarmi e notifiche
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1482 - Controlli temperatura e umidità | Monitoraggio con allarmi/notifiche | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Protezione dai danni idrici
ID: NIST SP 800-53 Rev. 5 PE-15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1483 - Protezione da danni idrici | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
supporto di automazione
ID: NIST SP 800-53 Rev. 5 PE-15 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1484 - Protezione da danni idrico | Supporto per l'automazione | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Recapito e rimozione
ID: NIST SP 800-53 Rev. 5 PE-16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1485 - Recapito e rimozione | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Sede di lavoro alternativa
ID: NIST SP 800-53 Rev. 5 PE-17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1486 - Sede di lavoro alternativa | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1487 - Sede di lavoro alternativa | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1488 - Sede di lavoro alternativa | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Posizione dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 PE-18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1489 - Collocazione dei componenti del sistema informativo | Microsoft implementa questo controllo di Protezione fisica e ambientale | controllo | 1.0.0 |
Pianificazione
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PL-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1490 - Procedure e criteri di pianificazione della sicurezza | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1491 - Procedure e criteri di pianificazione della sicurezza | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
Piani di sicurezza e privacy del sistema
ID: NIST SP 800-53 Rev. 5 PL-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1492 - Piano di sicurezza del sistema | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1493 - Piano di sicurezza del sistema | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1494 - Piano di sicurezza del sistema | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1495 - Piano di sicurezza del sistema | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1496 - Piano di sicurezza del sistema | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1497 - Piano di sicurezza del sistema | Pianificare/coordinare con altre entità organizzative | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
Regole di comportamento
ID: NIST SP 800-53 Rev. 5 PL-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1498 - Regole di comportamento | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1499 - Regole di comportamento | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1500 - Regole di comportamento | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1501 - Regole di comportamento | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
Restrizioni sull'utilizzo di social media e siti esterni e applicazioni
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1502 - Regole di comportamento | Restrizioni relative ai social media e alle reti | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
Architetture di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 PL-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1503 - Architettura di sicurezza delle informazioni | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1504 - Architettura di sicurezza delle informazioni | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1505 - Architettura di sicurezza delle informazioni | Microsoft implementa questo controllo di Pianificazione | controllo | 1.0.0 |
Sicurezza del personale
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 PS-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1506 - Procedure e criteri di sicurezza del personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1507 - Procedure e criteri di sicurezza del personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Designazione del rischio della posizione
ID: NIST SP 800-53 Rev. 5 PS-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1508 - Categorizzazione della posizione | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1509 - Categorizzazione della posizione | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1510 - Categorizzazione della posizione | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Screening del personale
ID: NIST SP 800-53 Rev. 5 PS-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1511 - Screening del personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1512 - Screening del personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Informazioni che richiedono misure di protezione speciali
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1513 - Screening del personale | Informazioni con misure di protezione speciali | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1514 - Screening del personale | Informazioni con misure di protezione speciali | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Cessazione dell'incarico
ID: NIST SP 800-53 Rev. 5 PS-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1515 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1516 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1517 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1518 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1519 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1520 - Cessazione dell'incarico | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Azioni automatizzate
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1521 - Terminazione del personale | Notifica automatica | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Trasferimento di personale
ID: NIST SP 800-53 Rev. 5 PS-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1522 - Trasferimento di personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1523 - Trasferimento di personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1524 - Trasferimento di personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1525 - Trasferimento di personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Accordi di accesso
ID: NIST SP 800-53 Rev. 5 PS-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1526 - Accordi di accesso | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1527 - Accordi di accesso | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1528 - Accordi di accesso | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Sicurezza del personale esterno
ID: NIST SP 800-53 Rev. 5 PS-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1529 - Sicurezza del personale di terze parti | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1530 - Sicurezza del personale di terze parti | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1531 - Sicurezza del personale di terze parti | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1532 - Sicurezza del personale di terze parti | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1533 - Sicurezza del personale di terze parti | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Sanzioni al personale
ID: NIST SP 800-53 Rev. 5 PS-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1534 - Sanzioni al personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1535 - Sanzioni al personale | Microsoft implementa questo controllo di Sicurezza del personale | controllo | 1.0.0 |
Valutazione dei rischi
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 RA-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1536 - Criteri e procedure per la valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1537 - Criteri e procedure per la valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Categorizzazione di sicurezza
ID: NIST SP 800-53 Rev. 5 RA-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1538 - Categorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1539 - Categorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1540 - Categorizzazione di sicurezza | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Valutazione dei rischi
ID: NIST SP 800-53 Rev. 5 RA-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1541 - Valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1542 - Valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1543 - Valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1544 - Valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1545 - Valutazione dei rischi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Monitoraggio e analisi delle vulnerabilità
ID: NIST SP 800-53 Rev. 5 RA-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1546 - Analisi delle vulnerabilità | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1547 - Analisi delle vulnerabilità | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1548 - Analisi delle vulnerabilità | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1549 - Analisi delle vulnerabilità | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1550 - Analisi delle vulnerabilità | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1551 - Analisi delle vulnerabilità | Funzionalità dello strumento di aggiornamento | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| I risultati della vulnerabilità nei server SQL nei computer devono essere risolti | La valutazione delle vulnerabilità di SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro di Synapse | Individuare, tenere traccia e correggere le potenziali vulnerabilità configurando analisi ricorrenti della valutazione delle vulnerabilità DI SQL nelle aree di lavoro di Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Aggiornare le vulnerabilità da analizzare
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1552 - Analisi delle vulnerabilità | Aggiornamento per frequenza/prima della nuova analisi/quando identificato | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Ampiezza e profondità della copertura
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1553 - Analisi delle vulnerabilità | Ampiezza/profondità della copertura | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Informazioni individuabili
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1554 - Analisi delle vulnerabilità | Informazioni individuabili | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Accesso con privilegi
ID: NIST SP 800-53 Rev. 5 RA-5 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1555 - Analisi delle vulnerabilità | Accesso con privilegi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Analisi automatizzate delle tendenze
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1556 - Analisi delle vulnerabilità | Analisi automatizzate delle tendenze | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Esaminare i log di controllo cronologici
ID: NIST SP 800-53 Rev. 5 RA-5 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1557 - Analisi delle vulnerabilità | Esaminare i log di controllo cronologici | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Correlare le informazioni di analisi
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1558 - Analisi delle vulnerabilità | Correlare le informazioni di analisi | Microsoft implementa questo controllo di Valutazione dei rischi | controllo | 1.0.0 |
Acquisizione del sistema e dei servizi
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SA-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1559 - Criteri e procedure per l'acquisizione del sistema e dei servizi | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1560 - Criteri e procedure per l'acquisizione del sistema e dei servizi | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Allocazione delle risorse
ID: NIST SP 800-53 Rev. 5 SA-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1561 - Allocazione delle risorse | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1562 - Allocazione delle risorse | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1563 - Allocazione delle risorse | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Ciclo di vita dello sviluppo del sistema
ID: NIST SP 800-53 Rev. 5 SA-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1564 - Ciclo di vita dello sviluppo del sistema | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1565 - Ciclo di vita dello sviluppo del sistema | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1566 - Ciclo di vita dello sviluppo del sistema | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1567 - Ciclo di vita dello sviluppo del sistema | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Processo di acquisizione
ID: NIST SP 800-53 Rev. 5 SA-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1568 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1569 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1570 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1571 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1572 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1573 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1574 - Processo di acquisizione | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Proprietà funzionali dei controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1575 - Processo di acquisizione | Proprietà funzionali dei controlli di sicurezza | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Informazioni sulla progettazione e sull'implementazione per i controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1576 - Processo di acquisizione | Progettare/informazioni sull'implementazione per i controlli di sicurezza | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Piano di monitoraggio continuo per i controlli
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1577 - Processo di acquisizione | Piano di monitoraggio continuo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Funzioni, porte, protocolli e servizi in uso
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1578 - Processo di acquisizione | Funzioni/porte/protocolli/servizi in uso | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Uso di prodotti PIV approvati
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1579 - Processo di acquisizione | Uso di prodotti Piv approvati | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Documentazione di sistema
ID: NIST SP 800-53 Rev. 5 SA-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1580 - Documentazione del sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1581 - Documentazione del sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1582 - Documentazione del sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1583 - Documentazione del sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1584 - Documentazione del sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Principi di progettazione della sicurezza e della privacy
ID: NIST SP 800-53 Rev. 5 SA-8 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1585 - Principi di ingegneria della sicurezza | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Servizi di sistema esterni
ID: NIST SP 800-53 Rev. 5 SA-9 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1586 - Servizi esterni per il sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1587 - Servizi esterni per il sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1588 - Servizi esterni per il sistema informativo | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Valutazioni dei rischi e Approvazioni organizzative
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1589 - Servizi del sistema informativo esterno | Valutazioni dei rischi/Approvazioni organizzative | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1590 - Servizi del sistema informativo esterno | Valutazioni dei rischi/Approvazioni organizzative | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Identificazione di funzioni, porte, protocolli e servizi
ID: NIST SP 800-53 Rev. 5 SA-9 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1591 - Servizi del sistema informativo esterno | Identificazione di funzioni/porte/protocolli... | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Interessi coerenti di consumatori e fornitori
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1592 - Servizi del sistema informativo esterno | Interessi coerenti dei consumatori e dei fornitori | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Elaborazione, Archiviazione e posizione del servizio
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1593 - Servizi del sistema informativo esterno | Elaborazione, Archiviazione e posizione del servizio | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Gestione della configurazione da parte dello sviluppatore
ID: NIST SP 800-53 Rev. 5 SA-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1594 - Gestione della configurazione da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1595 - Gestione della configurazione da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1596 - Gestione della configurazione da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1597 - Gestione della configurazione da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1598 - Gestione della configurazione da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Verifica dell'integrità del software e del firmware
ID: NIST SP 800-53 Rev. 5 SA-10 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1599 - Gestione della configurazione per sviluppatori | Verifica dell'integrità del software/firmware | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Test e valutazione per sviluppatori
ID: NIST SP 800-53 Rev. 5 SA-11 Proprietà: Condiviso
Analisi codice statico
ID: NIST SP 800-53 Rev. 5 SA-11 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1605 - Test e valutazione della sicurezza per sviluppatori | Analisi statica del codice | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Modellazione delle minacce e analisi delle vulnerabilità
ID: NIST SP 800-53 Rev. 5 SA-11 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1606 - Test e valutazione della sicurezza per sviluppatori | Analisi delle minacce e delle vulnerabilità | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Analisi dinamica del codice
ID: NIST SP 800-53 Rev. 5 SA-11 (8) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1607 - Test e valutazione della sicurezza per sviluppatori | Analisi dinamica del codice | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Processo di sviluppo, standard e strumenti
ID: NIST SP 800-53 Rev. 5 SA-15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1609 - Processo di sviluppo, standard e strumenti | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1610 - Processo di sviluppo, standard e strumenti | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Formazione fornita dallo sviluppatore
ID: NIST SP 800-53 Rev. 5 SA-16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1611 - Training fornito dallo sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Architettura e progettazione di sicurezza e privacy per sviluppatori
ID: NIST SP 800-53 Rev. 5 SA-17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1612 - Architettura e progettazione della sicurezza da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1613 - Architettura e progettazione della sicurezza da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1614 - Architettura e progettazione della sicurezza da parte dello sviluppatore | Microsoft implementa questo controllo di Acquisizione del sistema e dei servizi | controllo | 1.0.0 |
Protezione del sistema e delle comunicazioni
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SC-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1615 - Criteri e procedure per la protezione dei sistemi e delle comunicazioni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1616 - Criteri e procedure per la protezione dei sistemi e delle comunicazioni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Separazione delle funzionalità di sistema e utente
ID: NIST SP 800-53 Rev. 5 SC-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1617 - Partizionamento delle applicazioni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Isolamento delle funzioni di sicurezza
ID: NIST SP 800-53 Rev. 5 SC-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1618 - Isolamento delle funzioni di sicurezza | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Informazioni nelle risorse di sistema condivise
ID: NIST SP 800-53 Rev. 5 SC-4 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1619 - Informazioni nelle risorse condivise | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Protezione Denial of Service
ID: NIST SP 800-53 Rev. 5 SC-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Protezione DDoS di Azure deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1620 - Protezione da attacchi Denial of Service | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Disponibilità delle risorse
ID: NIST SP 800-53 Rev. 5 SC-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1621 - Disponibilità delle risorse | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Protezione dei limiti
ID: NIST SP 800-53 Rev. 5 SC-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1622 - Protezione dei limiti | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1623 - Protezione dei limiti | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1624 - Protezione dei limiti | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Punti di accesso
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1625 - Protezione dei limiti | Punti di accesso | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Servizi di telecomunicazione esterni
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1626 - Protezione dei limiti | Servizi di telecomunicazione esterni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1627 - Protezione dei limiti | Servizi di telecomunicazione esterni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1628 - Protezione dei limiti | Servizi di telecomunicazione esterni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1629 - Protezione dei limiti | Servizi di telecomunicazione esterni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1630 - Protezione dei limiti | Servizi di telecomunicazione esterni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Nega per impostazione predefinita ??? Consenti per eccezione
ID: NIST SP 800-53 Rev. 5 SC-7 (5) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1155 - Interconnessioni del sistema | Restrizioni sulle Connessione del sistema esterno | Microsoft implementa questo controllo di Valutazione della sicurezza e autorizzazione | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1631 - Protezione dei limiti | Nega per impostazione predefinita/Consenti per eccezione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Split Tunneling per dispositivi remoti
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1632 - Protezione dei limiti | Impedire il split tunneling per i dispositivi remoti | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Instradare il traffico ai server proxy autenticati
ID: NIST SP 800-53 Rev. 5 SC-7 (8) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1633 - Protezione dei limiti | Instradare il traffico ai server proxy autenticati | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Impedire l'esfiltrazione
ID: NIST SP 800-53 Rev. 5 SC-7 (10) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1634 - Protezione dei limiti | Impedisci esfiltrazione non autorizzata | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Protezione basata su host
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1635 - Protezione dei limiti | Protezione basata su host | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Isolamento di strumenti di sicurezza, meccanismi e componenti di supporto
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1636 - Protezione dei limiti | Isolamento di strumenti di sicurezza/meccanismi/componenti di supporto | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Fail Secure
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1637 - Protezione dei limiti | Fail Secure | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Isolamento e separazione dinamici
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1638 - Protezione dei limiti | Isolamento dinamico/Separazione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Isolamento dei componenti di sistema
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1639 - Protezione dei limiti | Isolamento dei componenti del sistema informativo | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Riservatezza e integrità delle trasmissioni
ID: NIST SP 800-53 Rev. 5 SC-8 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Controllo gestito da Microsoft 1640 - Riservatezza e integrità delle trasmissioni | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 3.0.1 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-8 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Controllo gestito da Microsoft 1641 - Riservatezza e integrità della trasmissione | Protezione fisica crittografica o alternativa | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 3.0.1 |
Disconnessione di rete
ID: NIST SP 800-53 Rev. 5 SC-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1642 - Disconnessione di rete | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Definizione e gestione di chiavi crittografiche
ID: NIST SP 800-53 Rev. 5 SC-12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: hub IoT i dati del servizio device provisioning devono essere crittografati usando chiavi gestite dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio di provisioning dei dispositivi hub IoT. I dati vengono crittografati automaticamente inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Automazione di Azure gli account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Il gruppo di contenitori dell'istanza di Azure Container deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled, Deny | 1.0.0 |
| Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Le data factory di Azure devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| I cluster Azure HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei cluster Azure HDInsight inattivi. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| I cluster Azure HDInsight devono usare la crittografia nell'host per crittografare i dati inattivi | L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati | Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. | Audit, Deny, Disabled | 1.0.0 |
| servizio Bot deve essere crittografato con una chiave gestita dal cliente | Azure servizio Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia servizio Bot di Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente | Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sulle chiavi gestite dal cliente sono disponibili in https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| I registri contenitori devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Gli spazi dei nomi di Hub eventi devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Audit, Disabled | 1.0.0 |
| L'ambiente del servizio di integrazione delle app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
| I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Controllo gestito da Microsoft 1643 - Definizione e gestione di chiavi crittografiche | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto dei dischi gestiti. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| bus di servizio gli spazi dei nomi Premium devono usare una chiave gestita dal cliente per la crittografia | bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che bus di servizio useranno per crittografare i dati nello spazio dei nomi. Si noti che bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Audit, Disabled | 1.0.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
| Archiviazione ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione account devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled | 1.0.3 |
Disponibilità
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1644 - Definizione e gestione delle chiavi crittografiche | Disponibilità | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Chiavi simmetriche
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1645 - Definizione e gestione delle chiavi crittografiche | Chiavi simmetriche | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Chiavi asimmetriche
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1646 - Definizione e gestione delle chiavi crittografiche | Chiavi asimmetriche | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-13 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1647 - Uso della crittografia | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Dispositivi e applicazioni di elaborazione collaborativa
ID: NIST SP 800-53 Rev. 5 SC-15 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1648 - Dispositivi di elaborazione di collaborazione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1649 - Dispositivi di elaborazione di collaborazione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Certificati di infrastruttura a chiave pubblica
ID: NIST SP 800-53 Rev. 5 SC-17 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1650 - Certificati di infrastruttura a chiave pubblica | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Codice mobile
ID: NIST SP 800-53 Rev. 5 SC-18 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1651 - Codice mobile | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1652 - Codice mobile | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1653 - Codice mobile | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Secure Name/address Resolution Service (origine autorevole)
ID: NIST SP 800-53 Rev. 5 SC-20 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1656 - Servizio protetto di risoluzione del nome e dell'indirizzo (origine autorevole) | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1657 - Servizio protetto di risoluzione del nome e dell'indirizzo (origine autorevole) | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Servizio di risoluzione dei nomi/indirizzi sicuri (resolver ricorsivo o di memorizzazione nella cache)
ID: NIST SP 800-53 Rev. 5 SC-21 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1658 - Servizio protetto di risoluzione del nome e dell'indirizzo (resolver ricorsivo o di memorizzazione nella cache) | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Architettura e provisioning per il servizio di risoluzione dei nomi/indirizzi
ID: NIST SP 800-53 Rev. 5 SC-22 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1659 - Architettura e provisioning per il servizio di risoluzione del nome e dell'indirizzo | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Autenticità della sessione
ID: NIST SP 800-53 Rev. 5 SC-23 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1660 - Autenticità della sessione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Invalidare gli identificatori di sessione in Disconnessione
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1661 - Autenticità sessione | Invalidare gli identificatori di sessione alla disconnessione | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Errore in uno stato conosciuto
ID: NIST SP 800-53 Rev. 5 SC-24 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1662 - Errore in uno stato conosciuto | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Protezione delle informazioni inattive
ID: NIST SP 800-53 Rev. 5 SC-28 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
| La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
| Controllo gestito da Microsoft 1663 - Protezione delle informazioni inattive | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
| Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Protezione crittografica
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
| La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
| Controllo gestito da Microsoft 1437 - Trasporto multimediale | Protezione crittografica | Microsoft implementa questo controllo di Protezione dei supporti | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1664 - Protezione delle informazioni inattive | Protezione crittografica | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
| Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Isolamento del processo
ID: NIST SP 800-53 Rev. 5 SC-39 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1665 - Isolamento del processo | Microsoft implementa questo controllo di Protezione del sistema e delle comunicazioni | controllo | 1.0.0 |
Integrità del sistema e delle informazioni
Criteri e procedure
ID: NIST SP 800-53 Rev. 5 SI-1 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1666 - Procedure e criteri di integrità del sistema e delle informazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1667 - Procedure e criteri di integrità del sistema e delle informazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Correzione degli errori
ID: NIST SP 800-53 Rev. 5 SI-2 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1668 - Correzione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1669 - Correzione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1670 - Correzione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1671 - Correzione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
Stato di correzione automatica dei difetti
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1673 - Correzione degli errori | Stato di correzione automatica dei difetti | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Tempo necessario per correggere i difetti e i benchmark per le azioni correttive
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1674 - Correzione degli errori | Tempo necessario per correggere i difetti/benchmark per le azioni correttive | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1675 - Correzione degli errori | Tempo necessario per correggere i difetti/benchmark per le azioni correttive | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Rimozione di versioni precedenti di software e firmware
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
Protezione dal malware
ID: NIST SP 800-53 Rev. 5 SI-3 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| Controllo gestito da Microsoft 1676 - Protezione dal malware | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1677 - Protezione dal malware | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1678 - Protezione dal malware | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1679 - Protezione dal malware | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1681 - Protezione da codice dannoso | Aggiornamenti automatico | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1682 - Protezione da codice dannoso | Rilevamento non basato su firma | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Monitoraggio di sistema
ID: NIST SP 800-53 Rev. 5 SI-4 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per Archiviazione (versione classica) deve essere abilitato | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | AuditIfNotExists, Disabled | 1.0.4 |
| Controllo gestito da Microsoft 1683 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1684 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1685 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1686 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1687 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1688 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1689 - Monitoraggio dei sistemi informativi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Sistema di rilevamento intrusioni a livello di sistema
ID: NIST SP 800-53 Rev. 5 SI-4 (1) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1690 - Monitoraggio del sistema informativo | Sistema di rilevamento delle intrusioni a livello di sistema | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Strumenti e meccanismi automatizzati per l'analisi in tempo reale
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1691 - Monitoraggio del sistema informativo | Strumenti automatizzati per l'analisi in tempo reale | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Traffico delle comunicazioni in ingresso e in uscita
ID: NIST SP 800-53 Rev. 5 SI-4 (4) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1692 - Monitoraggio del sistema informativo | Traffico delle comunicazioni in ingresso e in uscita | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Avvisi generati dal sistema
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1693 - Monitoraggio del sistema informativo | Avvisi generati dal sistema | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Analizzare le anomalie del traffico delle comunicazioni
ID: NIST SP 800-53 Rev. 5 SI-4 (11) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1694 - Monitoraggio del sistema informativo | Analizzare le anomalie del traffico delle comunicazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Avvisi automatizzati generati dall'organizzazione
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Proprietà: Customer
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Rilevamento intrusioni wireless
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1695 - Monitoraggio del sistema informativo | Rilevamento intrusioni wireless | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Correlare le informazioni di monitoraggio
ID: NIST SP 800-53 Rev. 5 SI-4 (16) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1696 - Monitoraggio del sistema informativo | Correlare le informazioni di monitoraggio | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Analizzare il traffico e l'esfiltrazione covert
ID: NIST SP 800-53 Rev. 5 SI-4 (18) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1697 - Monitoraggio del sistema informativo | Analizzare il traffico/esfiltrazione covert | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Rischio per individui
ID: NIST SP 800-53 Rev. 5 SI-4 (19) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1698 - Monitoraggio del sistema informativo | Individui che presentano un rischio maggiore | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Utenti con privilegi
ID: NIST SP 800-53 Rev. 5 SI-4 (20) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1699 - Monitoraggio del sistema informativo | Utenti con privilegi | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Servizi di rete non autorizzati
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1700 - Monitoraggio del sistema informativo | Servizi di rete non autorizzati | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Dispositivi basati su host
ID: NIST SP 800-53 Rev. 5 SI-4 (23) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1701 - Monitoraggio del sistema informativo | Dispositivi basati su host | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Indicatori di compromissione
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1702 - Monitoraggio del sistema informativo | Indicatori di compromissione | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Avvisi, avvisi di sicurezza e direttive
ID: NIST SP 800-53 Rev. 5 SI-5 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1703 - Avvisi e avvisi di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1704 - Avvisi e avvisi di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1705 - Avvisi e avvisi di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1706 - Avvisi e avvisi di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Avvisi e avvisi automatizzati
ID: NIST SP 800-53 Rev. 5 SI-5 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1707 - Avvisi e avvisi di sicurezza | Avvisi e avvisi automatizzati | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Verifica delle funzioni di sicurezza e privacy
ID: NIST SP 800-53 Rev. 5 SI-6 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1708 - Verifica della funzionalità di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1709 - Verifica della funzionalità di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1710 - Verifica della funzionalità di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1711 - Verifica delle funzionalità di sicurezza | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Integrità di software, firmware e informazioni
ID: NIST SP 800-53 Rev. 5 SI-7 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1712 - Integrità software e informazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Controlli di integrità
ID: NIST SP 800-53 Rev. 5 SI-7 (1) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1713 - Integrità software e informazioni | Controlli di integrità | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Notifiche automatiche delle violazioni dell'integrità
ID: NIST SP 800-53 Rev. 5 SI-7 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1714 - Integrità software e informazioni | Notifiche automatizzate di violazioni dell'integrità | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Risposta automatica alle violazioni dell'integrità
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1715 - Integrità software e informazioni | Risposta automatica alle violazioni dell'integrità | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Integrazione del rilevamento e della risposta
ID: NIST SP 800-53 Rev. 5 SI-7 (7) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1716 - Integrità software e informazioni | Integrazione del rilevamento e della risposta | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Protezione dalla posta indesiderata
ID: NIST SP 800-53 Rev. 5 SI-8 Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1719 - Protezione dalla posta indesiderata | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1720 - Protezione dalla posta indesiderata | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Aggiornamenti automatici
ID: NIST SP 800-53 Rev. 5 SI-8 (2) Proprietà: Microsoft
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1722 - Protezione dalla posta indesiderata | Aggiornamenti automatico | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Convalida dell'input di informazioni
ID: NIST SP 800-53 Rev. 5 SI-10 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1723 - Convalida dell'input di informazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Gestione errori
ID: NIST SP 800-53 Rev. 5 SI-11 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1724 - Gestione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Controllo gestito da Microsoft 1725 - Gestione degli errori | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Gestione e conservazione delle informazioni
ID: NIST SP 800-53 Rev. 5 SI-12 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Controllo gestito da Microsoft 1726 - Gestione e conservazione dell'output delle informazioni | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
Protezione della memoria
ID: NIST SP 800-53 Rev. 5 SI-16 Proprietà: Condiviso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Controllo gestito da Microsoft 1727 - Protezione della memoria | Microsoft implementa questo controllo di Integrità del sistema e delle informazioni | controllo | 1.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.