Controlli di conformità alle normative di Criteri di Azure per Macchine virtuali di Azure

La conformità alle normative di Criteri di Azure fornisce definizioni di iniziative gestite e create da Microsoft, note come definizioni predefinite, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza per Macchine virtuali di Azure. È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo specifico standard.

Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo ai criteri stessi e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra controlli e definizioni di Conformità con le normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.

Benchmark di sicurezza di Azure

Azure Security Benchmark offre consigli sulla protezione delle soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio ad Azure Security Benchmark, vedere i file di mapping di Azure Security Benchmark.

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative per Azure Security Benchmark.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno L'inoltro IP nella macchina virtuale deve essere disabilitato 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno È consigliabile chiudere le porte di gestione nelle macchine virtuali 3.0.0
Sicurezza di rete NS-1 Implementare la sicurezza per il traffico interno Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Sicurezza di rete NS-4 Proteggere applicazioni e servizi da attacchi di rete esterni Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Sicurezza di rete NS-4 Proteggere applicazioni e servizi da attacchi di rete esterni È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Sicurezza di rete NS-4 Proteggere applicazioni e servizi da attacchi di rete esterni Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Sicurezza di rete NS-4 Proteggere applicazioni e servizi da attacchi alla rete esterna L'inoltro IP nella macchina virtuale deve essere disabilitato 3.0.0
Sicurezza di rete NS-4 Proteggere applicazioni e servizi da attacchi alla rete esterna Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Identity Management Messaggistica istantanea 4 Usare controlli di autenticazione avanzata per tutti gli accessi Azure Active Directory accesso basato su certificati L'autenticazione nei computer Linux deve richiedere chiavi SSH 2.0.1
Protezione dei dati DP-2 Proteggere i dati sensibili È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Protezione dei dati DP-4 Crittografare le informazioni riservate in transito I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione dei dati DP-5 Crittografare i dati sensibili in stato di inquieto È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Asset Management (Gestione degli asset) AM-3 Usare solo servizi di Azure approvati È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager 1.0.0
Asset Management (Gestione degli asset) AM-6 Usare solo applicazioni approvate nelle risorse di calcolo I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Asset Management (Gestione degli asset) AM-6 Usare solo applicazioni approvate nelle risorse di calcolo Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate 3.0.0
Registrazione e rilevamento delle minacce LT-3 Abilitare la registrazione per le attività di rete di Azure L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux 1.0.1-preview
Registrazione e rilevamento delle minacce LT-3 Abilitare la registrazione per le attività di rete di Azure L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows 1.0.1-preview
Registrazione e rilevamento delle minacce LT-4 Abilitare la registrazione per le risorse di Azure I log delle risorse nei set di scalabilità di macchine virtuali devono essere abilitati 2.0.1
Registrazione e rilevamento delle minacce LT-5 Centralizzare la gestione e l'analisi dei log di sicurezza L'estensione configurazione guest deve essere installata nei computer 1.0.1
Registrazione e rilevamento delle minacce LT-5 Centralizzare la gestione e l'analisi dei log di sicurezza È consigliabile risolvere i problemi di integrità dell'agente di Log Analytics nei computer 1.0.0
Registrazione e rilevamento delle minacce LT-5 Centralizzare la gestione e l'analisi dei log di sicurezza L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure 1.0.0
Registrazione e rilevamento delle minacce LT-5 Centralizzare la gestione e l'analisi dei log di sicurezza L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure 1.0.0
Registrazione e rilevamento delle minacce LT-5 Centralizzare la gestione e l'analisi dei log di sicurezza L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema 1.0.1
Gestione del comportamento e della vulnerabilità PV-4 Sostenere configurazioni sicure per le risorse di calcolo I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure 1.1.0-preview
Gestione del comportamento e della vulnerabilità PV-4 Sostenere configurazioni sicure per le risorse di calcolo È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Gestione del comportamento e della vulnerabilità PV-4 Sostenere configurazioni sicure per le risorse di calcolo Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Gestione del comportamento e della vulnerabilità PV-4 Sostenere configurazioni sicure per le risorse di calcolo Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Gestione del comportamento e della vulnerabilità PV-4 Sostenere configurazioni sicure per le risorse di calcolo I computer Windows devono soddisfare i requisiti della baseline di Centro sicurezza di Azure 1.0.0-preview
Gestione del comportamento e della vulnerabilità PV-6 Eseguire valutazioni delle vulnerabilità software È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Gestione del comportamento e della vulnerabilità PV-6 Eseguire valutazioni delle vulnerabilità software I server SQL nei computer devono avere i risultati delle vulnerabilità risolti 1.0.0
Gestione del comportamento e della vulnerabilità PV-7 Correggere rapidamente e automaticamente le vulnerabilità del software Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Gestione del comportamento e della vulnerabilità PV-7 Correggere rapidamente e automaticamente le vulnerabilità del software Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Sicurezza degli endpoint ES-2 Usare software antimalware moderno gestito centralmente La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Sicurezza degli endpoint ES-2 Usare software antimalware moderno gestito centralmente Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Sicurezza degli endpoint ES-2 Usare software antimalware moderno gestito centralmente Windows Defender Exploit Guard deve essere abilitato nei computer 1.1.1
Sicurezza degli endpoint ES-3 Verificare che le firme e il software antimalware siano aggiornati La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Sicurezza degli endpoint ES-3 Verificare che le firme e il software antimalware siano aggiornati Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Backup e ripristino BR-1 Garantire backup automatizzati regolari La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Backup e ripristino BR-2 Crittografare i dati di backup La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0

Azure Security Benchmark v1

Azure Security Benchmark offre consigli sulla protezione delle soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio ad Azure Security Benchmark, vedere i file di mapping di Azure Security Benchmark.

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative per Azure Security Benchmark.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Sicurezza di rete 1.1 Proteggere le risorse usando i gruppi di sicurezza di rete o il firewall di Azure nella rete virtuale Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Sicurezza di rete 1.1 Proteggere le risorse usando i gruppi di sicurezza di rete o il firewall di Azure nella rete virtuale Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Sicurezza di rete 1.1 Proteggere le risorse usando i gruppi di sicurezza di rete o il firewall di Azure nella rete virtuale L'inoltro IP nella macchina virtuale deve essere disabilitato 3.0.0
Sicurezza di rete 1.1 Proteggere le risorse usando i gruppi di sicurezza di rete o il firewall di Azure nella rete virtuale Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Sicurezza di rete 1.1 Proteggere le risorse usando i gruppi di sicurezza di rete o il firewall di Azure nella rete virtuale È consigliabile chiudere le porte di gestione nelle macchine virtuali 3.0.0
Sicurezza di rete 1.4 Negare le comunicazioni con indirizzi IP dannosi noti Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Sicurezza di rete 1.4 Negare le comunicazioni con indirizzi IP dannosi noti Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' 2.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' 2.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Sicurezza di rete 1.11 Usare strumenti automatizzati per monitorare le configurazioni delle risorse di rete e rilevare le modifiche I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Registrazione e monitoraggio 2.2 Configurare la gestione dei log di sicurezza centralizzata Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto 1.0.0
Registrazione e monitoraggio 2.2 Configurare la gestione dei log di sicurezza centralizzata L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Registrazione e monitoraggio 2.2 Configurare la gestione dei log di sicurezza centralizzata L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Registrazione e monitoraggio 2.3 Abilitare la registrazione di controllo per le risorse di Azure I log delle risorse nei set di scalabilità di macchine virtuali devono essere abilitati 2.0.1
Registrazione e monitoraggio 2.4 Raccogliere i log di sicurezza dai sistemi operativi Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto 1.0.0
Registrazione e monitoraggio 2.4 Raccogliere i log di sicurezza dai sistemi operativi L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Registrazione e monitoraggio 2.4 Raccogliere i log di sicurezza dai sistemi operativi L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Registrazione e monitoraggio 2.8 Centralizzare la registrazione antimalware La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Registrazione e monitoraggio 2.8 Centralizzare la registrazione antimalware È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Registrazione e monitoraggio 2.8 Centralizzare la registrazione antimalware Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Gestione delle identità e controllo di accesso 3.3 Usare account amministrativi dedicati Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Gestione delle identità e controllo di accesso 3.3 Usare account amministrativi dedicati Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators 1.0.0
Gestione delle identità e controllo di accesso 3.3 Usare account amministrativi dedicati Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Protezione dei dati 4.8 Crittografare le informazioni riservate inattive È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Protezione dei dati 4.8 Crittografare le informazioni riservate inattive È consigliabile crittografare i dischi non collegati 1.0.0
Gestione delle vulnerabilità 5.1 Eseguire strumenti di analisi della vulnerabilità automatizzati È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Gestione delle vulnerabilità 5,2 Distribuire una soluzione di gestione delle patch automatizzata per il sistema operativo Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Gestione delle vulnerabilità 5,2 Distribuire una soluzione di gestione delle patch automatizzata per il sistema operativo Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Gestione delle vulnerabilità 5.5 Usare un processo di classificazione dei rischi per classificare in ordine di priorità la correzione delle vulnerabilità individuate È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Gestione delle vulnerabilità 5.5 Usare un processo di classificazione dei rischi per classificare in ordine di priorità la correzione delle vulnerabilità individuate Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Gestione delle vulnerabilità 5.5 Usare un processo di classificazione dei rischi per classificare in ordine di priorità la correzione delle vulnerabilità individuate Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Gestione asset e inventario 6.8 Usare solo applicazioni approvate I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione asset e inventario 6.9 Usare solo servizi di Azure approvati È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager 1.0.0
Gestione asset e inventario 6.10 Implementare l'elenco di applicazioni approvate I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Configurazione sicura 7.4 Garantire la sicurezza delle configurazioni del sistema operativo È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Configurazione sicura 7.4 Garantire la sicurezza delle configurazioni del sistema operativo Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Configurazione sicura 7.4 Garantire la sicurezza delle configurazioni del sistema operativo Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Configurazione sicura 7.10 Implementare il monitoraggio automatizzato della configurazione per i sistemi operativi È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Configurazione sicura 7.10 Implementare il monitoraggio automatizzato della configurazione per i sistemi operativi Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Configurazione sicura 7.10 Implementare il monitoraggio automatizzato della configurazione per i sistemi operativi Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Difesa da malware 8.1 Usare software antimalware gestito in modo centralizzato La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Difesa da malware 8.1 Usare software antimalware gestito in modo centralizzato Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Difesa da malware 8.3 Verificare che le firme e il software antimalware siano aggiornati È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Ripristino dei dati 9.1 Garantire l'esecuzione regolare di backup automatizzati La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Ripristino dei dati 9.2 Eseguire backup completi del sistema e il backup di tutte le chiavi gestite dal cliente La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0

Canada Federal PBMM

Per esaminare il mapping delle Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - Canada Federal PBMM. Per altre informazioni su questo standard di conformità, vedere Canada Federal PBMM.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso AC-5 Separazione dei compiti Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC-5 Separazione dei compiti Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC-5 Separazione dei compiti Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-5 Separazione dei compiti Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-5 Separazione dei compiti Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso AC-6 Privilegi minimi Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC-6 Privilegi minimi Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC-6 Privilegi minimi Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-6 Privilegi minimi Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-6 Privilegi minimi Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso AC-17(1) Accesso remoto | Monitoraggio/Controllo automatico Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC-17(1) Accesso remoto | Monitoraggio/Controllo automatico Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC-17(1) Accesso remoto | Monitoraggio/Controllo automatico Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso AC-17(1) Accesso remoto | Monitoraggio/Controllo automatico Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo e responsabilità AU-3 Contenuto dei record di controllo Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU-3 Contenuto dei record di controllo L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU-3 Contenuto dei record di controllo L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU-12 Generazione di controllo Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU-12 Generazione di controllo L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU-12 Generazione di controllo L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Gestione della configurazione CM-7(5) Funzionalità minima | Software autorizzato/elenco elementi consentiti I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM-7(5) Funzionalità minima | Software autorizzato/elenco elementi consentiti I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM-11 Software installato dall'utente I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Piani di emergenza CP-7 Sito di elaborazione alternativo Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la validità massima della password non è impostata su 70 giorni 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la validità minima della password non è impostata su 1 giorno 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identificazione e autenticazione IA-5(1) Gestione autenticatori | Autenticazione basata su password Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni SC-7(3) Protezione dei limiti | Punti di accesso Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC-7(4) Protezione dei limiti | Servizi di telecomunicazione esterni Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC-8(1) Riservatezza e integrità delle trasmissioni | Protezione crittografica o fisica in alternativa I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni SC-28 Protezione delle informazioni inattive È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI-3 Protezione dal malware La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI-3 Protezione dal malware Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni SI-3(1) Protezione dal malware | Gestione centrale La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI-3(1) Protezione dal malware | Gestione centrale Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0

CIS Microsoft Azure Foundations Benchmark 1.1.0

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Centro sicurezza 2.3 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora aggiornamenti del sistema" non sia disabilitata Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Centro sicurezza 2.4 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora vulnerabilità del sistema operativo" non sia disabilitata Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Centro sicurezza 2.5 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora protezione endpoint" non sia disabilitata Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Centro sicurezza 2.6 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora crittografia disco" non sia disabilitata È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Centro sicurezza 2.7 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora gruppi di sicurezza di rete" non sia disabilitata Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Centro sicurezza 2,9 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Abilita monitoraggio firewall di nuova generazione" non sia disabilitata Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Centro sicurezza 2.10 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora la valutazione della vulnerabilità" non sia disabilitata È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Centro sicurezza 2.12 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora accesso JIT alla rete" non sia disabilitata Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Centro sicurezza 2,13 Assicurarsi che l'impostazione dei criteri predefinita del Centro sicurezza di Azure "Monitora l'inserimento delle applicazioni adattive nell'elenco elementi consentiti" non sia disabilitata I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Macchine virtuali 7.1 Assicurarsi che il "Disco del sistema operativo" sia crittografato È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Macchine virtuali 7.2 Assicurarsi che i "Dischi dati" siano crittografati È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Macchine virtuali 7.3 Assicurarsi che i "Dischi non collegati" siano crittografati È consigliabile crittografare i dischi non collegati 1.0.0
Macchine virtuali 7.4 Assicurarsi che siano installate solo le estensioni approvate Devono essere installate solo le estensioni macchina virtuale approvate 1.0.0
Macchine virtuali 7.5 Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Macchine virtuali 7.6 Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0

Per esaminare il mapping delle Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Registrazione e monitoraggio 5.3 Assicurarsi che i log di diagnostica siano abilitati per tutti i servizi che lo supportano. I log delle risorse nei set di scalabilità di macchine virtuali devono essere abilitati 2.0.1
Macchine virtuali 7.1 Assicurarsi che le macchine virtuali Managed Disks Controlla macchine virtuali che non usano dischi gestiti 1.0.0
Macchine virtuali 7.2 Assicurarsi che i dischi del sistema operativo e dei dati siano crittografati con CMK È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Macchine virtuali 7.3 Assicurarsi che i dischi non associati siano crittografati con CMK È consigliabile crittografare i dischi non collegati 1.0.0
Macchine virtuali 7.4 Assicurarsi che siano installate solo le estensioni approvate Devono essere installate solo le estensioni macchina virtuale approvate 1.0.0
Macchine virtuali 7.5 Assicurarsi che vengano applicate le patch più recenti del sistema operativo per tutte le macchine virtuali Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Macchine virtuali 7.6 Assicurarsi che venga installata la protezione endpoint per tutte le Macchine virtuali di Microsoft Azure Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0

CMMC Livello 3

Per esaminare il mapping delle Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - CMMC Level 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informatici). Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informatici). Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informatici). Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informatici). I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Controllo di accesso AC.1.001 Limitare l'accesso al sistema di informazioni a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi informatici). I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Controllo di accesso AC.1.002 Limitare l'accesso al sistema informazioni ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso AC.1.002 Limitare l'accesso al sistema informazioni ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso AC.1.002 Limitare l'accesso al sistema informazioni ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Controllo di accesso AC.1.002 Limitare l'accesso al sistema informazioni ai tipi di transazioni e funzioni che gli utenti autorizzati sono autorizzati a eseguire. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Controllo di accesso AC.1.003 Verificare e controllare/limitare le connessioni a e all'uso di sistemi in informazioni esterni. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo di accesso AC.1.003 Verificare e controllare/limitare le connessioni a e all'uso di sistemi in informazioni esterni. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo di accesso AC.2.007 Usare il principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account con privilegi. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso AC.2.008 Usare account o ruoli senza privilegi quando si accede a funzioni non di sicurezza. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' 2.0.0
Controllo di accesso AC.2.008 Usare account o ruoli senza privilegi quando si accede a funzioni non di sicurezza. I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' 2.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso AC.2.013 Monitorare e controllare le sessioni di accesso remoto. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Controllo di accesso AC.2.016 Controllare il flusso di CUI in conformità alle autorizzazioni approvate. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo di accesso AC.2.016 Controllare il flusso di CUI in conformità alle autorizzazioni approvate. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo di accesso AC.2.016 Controllare il flusso di CUI in conformità alle autorizzazioni approvate. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Controllo di accesso AC.3.017 Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC.3.017 Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC.3.018 Impedire agli utenti senza privilegi di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' 2.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. L'estensione Configurazione guest deve essere installata nei computer 1.0.1
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema 1.0.1
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' 2.0.0
Controllo di accesso AC.3.021 Autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni relative alla sicurezza. I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' 2.0.0
Controllo e responsabilità AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco per tali utenti, in modo che possano essere ritenute in grado di gestirne le azioni. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco per tali utenti, in modo che possano essere ritenute in grado di gestirne le azioni. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco per tali utenti, in modo che possano essere ritenute in grado di gestirne le azioni. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco per tali utenti, in modo che possano essere ritenute in grado di gestirne le azioni. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Controllo e responsabilità AU.2.041 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco per tali utenti, in modo che possano essere ritenute in grado di gestirne le azioni. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Controllo e responsabilità AU.2.042 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU.2.042 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU.2.042 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU.2.042 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Controllo e responsabilità AU.2.042 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Controllo e responsabilità AU.3.046 Avviso in caso di errore di un processo di registrazione di controllo. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU.3.046 Avviso in caso di errore di un processo di registrazione di controllo. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU.3.046 Avviso in caso di errore di un processo di registrazione di controllo. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU.3.048 Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU.3.048 Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU.3.048 Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU.3.048 Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Controllo e responsabilità AU.3.048 Raccogliere informazioni di controllo (ad esempio, log) in uno o più repository centrali. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Valutazione della sicurezza CA.2.158 Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nell'applicazione. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione della sicurezza CA.2.158 Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nell'applicazione. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Valutazione della sicurezza CA.2.158 Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nell'applicazione. Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate 3.0.0
Valutazione della sicurezza CA.2.158 Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nell'applicazione. La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Valutazione della sicurezza CA.2.158 Valutare periodicamente i controlli di sicurezza nei sistemi aziendali per determinare se i controlli sono efficaci nell'applicazione. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Valutazione della sicurezza CA.3.161 Monitorare i controlli di sicurezza su base continuativa per garantire l'efficacia continua dei controlli. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione della sicurezza CA.3.161 Monitorare i controlli di sicurezza su base continuativa per garantire l'efficacia continua dei controlli. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Valutazione della sicurezza CA.3.161 Monitorare i controlli di sicurezza su base continuativa per garantire l'efficacia continua dei controlli. Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate 3.0.0
Valutazione della sicurezza CA.3.161 Monitorare i controlli di sicurezza su base continuativa per garantire la continua efficacia dei controlli. La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Valutazione della sicurezza CA.3.161 Monitorare i controlli di sicurezza su base continuativa per garantire la continua efficacia dei controlli. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Gestione della configurazione CM.2.061 Stabilire e gestire le configurazioni di base e gli inventari dei sistemi aziendali (inclusi hardware, software, firmware e documentazione) in tutti i rispettivi cicli di vita di sviluppo del sistema. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM.2.061 Stabilire e gestire le configurazioni di base e gli inventari dei sistemi aziendali (inclusi hardware, software, firmware e documentazione) in tutti i rispettivi cicli di vita di sviluppo del sistema. I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure 1.1.0-preview
Gestione della configurazione CM.2.062 Usare il principio della funzionalità minima configurando i sistemi aziendali in modo da fornire solo funzionalità essenziali. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' 2.0.0
Gestione della configurazione CM.2.063 Controllare e monitorare il software installato dall'utente. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM.2.063 Controllare e monitorare il software installato dall'utente. Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate 3.0.0
Gestione della configurazione CM.2.063 Controllare e monitorare il software installato dall'utente. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' 2.0.0
Gestione della configurazione CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi aziendali. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Gestione della configurazione CM.2.064 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi aziendali. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Gestione della configurazione CM.2.065 Tenere traccia, rivedere, approvare o approvare e registrare le modifiche ai sistemi aziendali. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' 2.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Gestione della configurazione CM.3.069 Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi in informazioni aziendali. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi in informazioni aziendali. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi in informazioni aziendali. Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi in informazioni aziendali. Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi in informazioni aziendali. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione IA.1.077 Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informatici dell'organizzazione. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione IA.2.078 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione IA.2.079 Proibire il riutilizzo delle password per un numero specificato di generazioni. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA.2.079 Proibire il riutilizzo delle password per un numero specificato di generazioni. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA.2.079 Proibire il riutilizzo delle password per un numero specificato di generazioni. Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identificazione e autenticazione IA.2.079 Proibire il riutilizzo delle password per un numero specificato di generazioni. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione IA.2.079 Proibire il riutilizzo delle password per un numero specificato di generazioni. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione IA.2.081 Archiviare e trasmettere solo le password protette con crittografia. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA.2.081 Archiviare e trasmettere solo le password protette con crittografia. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA.2.081 Archiviare e trasmettere solo le password protette con crittografia. Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Identificazione e autenticazione IA.2.081 Archiviare e trasmettere solo le password protette con crittografia. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione IA.2.081 Archiviare e trasmettere solo le password protette con crittografia. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione IA.3.084 Usare meccanismi di autenticazione che resistono alla riproduzione per l'accesso alla rete per gli account con privilegi e senza privilegi. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Risposta agli eventi imprevisti IR.2.093 Rilevare e segnalare gli eventi. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Ripristino RE.2.137 Eseguire e testare regolarmente i backup dei dati. Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Ripristino RE.2.137 Eseguire e testare regolarmente i backup dei dati. La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Ripristino RE.3.139 Eseguire regolarmente backup completi, completi e resilienti dei dati come definito dall'organizzazione. Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Ripristino RE.3.139 Eseguire regolarmente backup completi, completi e resilienti dei dati come definito dall'organizzazione. La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Valutazione dei rischi RM.2.141 Valutare periodicamente il rischio per le operazioni organizzative (tra cui missione, funzioni, immagine o reputazione), gli asset aziendali e i singoli utenti, derivanti dal funzionamento dei sistemi aziendali e dall'elaborazione, archiviazione o trasmissione associata di CUI. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi RM.2.142 Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi RM.2.143 Correggere le vulnerabilità in base alle valutazioni dei rischi. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi RM.2.143 Correggere le vulnerabilità in base alle valutazioni dei rischi. È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Valutazione dei rischi RM.2.143 Correggere le vulnerabilità in base alle valutazioni dei rischi. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Valutazione dei rischi RM.2.143 Correggere le vulnerabilità in base alle valutazioni dei rischi. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni SC.1.176 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni SC.1.176 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni SC.1.176 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni SC.2.179 Usare sessioni crittografate per la gestione dei dispositivi di rete. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC.3.177 Usare la crittografia convalidata da FIPS quando viene usata per proteggere la riservatezza di CUI. Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Protezione del sistema e delle comunicazioni SC.3.177 Usare la crittografia convalidata da FIPS quando viene usata per proteggere la riservatezza di CUI. È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Protezione del sistema e delle comunicazioni SC.3.177 Usare la crittografia convalidata da FIPS quando viene usata per proteggere la riservatezza di CUI. È consigliabile crittografare i dischi non collegati 1.0.0
Protezione del sistema e delle comunicazioni SC.3.181 Separare le funzionalità utente dalla funzionalità di gestione del sistema. Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete in base all'eccezione(ad esempio, nega tutto, consentire in base all'eccezione). I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Protezione del sistema e delle comunicazioni SC.3.185 Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni SC.3.190 Proteggere l'autenticità delle sessioni di comunicazione. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni SC.3.191 Proteggere la riservatezza di CUI nello stato inattivo. È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Protezione del sistema e delle comunicazioni SC.3.191 Proteggere la riservatezza di CUI nello stato inattivo. È consigliabile crittografare i dischi non collegati 1.0.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere le informazioni e i difetti del sistema in tempo reale. È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere le informazioni e i difetti del sistema in tempo reale. Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere le informazioni e i difetti del sistema in tempo reale. Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere le informazioni e i difetti del sistema in tempo reale. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere le informazioni e i difetti del sistema in tempo reale. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI.1.211 Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informatici dell'organizzazione. La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI.1.211 Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informatici dell'organizzazione. È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Integrità del sistema e delle informazioni SI.1.211 Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informatici dell'organizzazione. È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows 1.0.0
Integrità del sistema e delle informazioni SI.1.211 Fornire protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informatici dell'organizzazione. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni SI.1.212 Aggiornare i meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Integrità del sistema e delle informazioni SI.1.213 Eseguire analisi periodiche del sistema in tempo reale e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione dei file. È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Integrità del sistema e delle informazioni SI.1.213 Eseguire analisi periodiche del sistema in tempo reale e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione dei file. È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows 1.0.0
Integrità del sistema e delle informazioni SI.1.213 Eseguire analisi periodiche del sistema in tempo reale e analisi in tempo reale dei file da origini esterne durante il download, l'apertura o l'esecuzione dei file. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0

HIPAA HITRUST 9.2

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Gestione dei privilegi 11180.01c3System.6 - 01.c L'accesso alle funzioni di gestione o alle console amministrative per i sistemi che ospitano sistemi virtualizzati è limitato al personale in base al principio del privilegio minimo e supportato tramite controlli tecnici. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Gestione dei privilegi 1143.01c1System.123 - 01.c I privilegi vengono formalmente autorizzati e controllati, assegnati agli utenti in base alle esigenze ed evento per evento secondo il loro ruolo funzionale (ad esempio utente o amministratore) e documentati per ogni prodotto/elemento di sistema. È consigliabile chiudere le porte di gestione nelle macchine virtuali 3.0.0
Gestione dei privilegi 1148.01c2System.78 - 01.c L'organizzazione limita l'accesso a funzioni con privilegi e a tutte le informazioni pertinenti per la sicurezza. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' 2.0.0
Gestione dei privilegi 1150.01c2System.10 - 01.c Il sistema di controllo di accesso per i componenti di sistema usati per l'archiviazione, l'elaborazione o la trasmissione di informazioni riservate è configurato con l'impostazione predefinita "deny-all". È consigliabile chiudere le porte di gestione nelle macchine virtuali 3.0.0
Autenticazione utente per le connessioni esterne 1119.01j2Organizational.3 - 01.j Le apparecchiature di rete vengono controllate per verificare la presenza di funzionalità non previste di connessioni remote. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Autenticazione utente per le connessioni esterne 1175.01j1Organizational.8 - 01.j L'accesso remoto a informazioni aziendali tramite reti pubbliche avviene solo dopo le corrette procedure di identificazione e autenticazione. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Autenticazione utente per le connessioni esterne 1179.01j3Organizational.1 - 01.j Il sistema informativo monitora e controlla i metodi di accesso remoto. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione delle porte di configurazione e diagnostica remota 1192.01l1Organizational.1 - 01.l L'accesso alle apparecchiature di rete è fisicamente protetto. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione delle porte di configurazione e diagnostica remota 1193.01l2Organizational.13 - 01.l I controlli per l'accesso a porte di diagnostica e configurazione includono l'uso di una serratura a chiave e l'implementazione delle procedure di supporto per controllare l'accesso fisico. È consigliabile chiudere le porte di gestione nelle macchine virtuali 3.0.0
Protezione delle porte di configurazione e diagnostica remota 1197.01l3Organizational.3 - 01.l L'organizzazione disabilita i protocolli di rete Bluetooth e peer-to-peer all'interno del sistema informativo ritenuti non necessari o non sicuri. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Separazione nelle reti 0805.01m1Organizational.12 - 01.m I gateway di sicurezza dell'organizzazione, ad esempio i firewall, impongono i criteri di sicurezza e sono configurati per filtrare il traffico tra domini, bloccare l'accesso non autorizzato e vengono usati per mantenere la separazione tra segmenti di rete cablati interni, wireless interni ed esterni, ad esempio Internet, incluse le reti perimetrali, e impongono i criteri di controllo di accesso per ogni dominio. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Separazione nelle reti 0806.01m2Organizational.12356 - 01.m La rete dell'organizzazione è segmentata a livello logico e fisico con un perimetro di sicurezza definito e un set graduale di controlli, con le sottoreti per i componenti di sistema accessibili pubblicamente separate a livello logico dalla rete interna, in base ai requisiti aziendali; il traffico viene controllato in base alle funzionalità necessarie e alla classificazione dei dati/sistemi secondo la valutazione dei rischi e i rispettivi requisiti di sicurezza. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Separazione nelle reti 0894.01m2Organizational.7 - 01.m Le reti vengono separate dalle reti a livello di produzione quando si esegue la migrazione di server fisici, applicazioni o dati a server virtualizzati. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo delle connessioni di rete 0809.01n2Organizational.1234 - 01.n Il traffico di rete viene controllato in conformità ai criteri di controllo di accesso dell'organizzazione tramite firewall e ad altre restrizioni relative alla rete per ogni punto di accesso alla rete o interfaccia gestita del sistema di comunicazione esterno. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo delle connessioni di rete 0809.01n2Organizational.1234 - 01.n Il traffico di rete viene controllato in conformità ai criteri di controllo di accesso dell'organizzazione tramite firewall e ad altre restrizioni relative alla rete per ogni punto di accesso alla rete o interfaccia gestita del sistema di comunicazione esterno. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo delle connessioni di rete 0810.01n2Organizational.5 - 01.n Le informazioni trasmesse vengono protette e almeno crittografate su reti pubbliche aperte. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo delle connessioni di rete 0810.01n2Organizational.5 - 01.n Le informazioni trasmesse vengono protette e almeno crittografate su reti pubbliche aperte. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo delle connessioni di rete 0811.01n2Organizational.6 - 01.n Le eccezioni ai criteri del flusso del traffico vengono documentate citando un'esigenza di business/mission di supporto e una durata e vengono riviste almeno ogni anno; le eccezioni ai criteri del flusso del traffico vengono rimosse quando non sono più supportate da un'esigenza esplicita di business/mission. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo delle connessioni di rete 0811.01n2Organizational.6 - 01.n Le eccezioni ai criteri del flusso del traffico vengono documentate citando un'esigenza di business/mission di supporto e una durata e vengono riviste almeno ogni anno; le eccezioni ai criteri del flusso del traffico vengono rimosse quando non sono più supportate da un'esigenza esplicita di business/mission. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo delle connessioni di rete 0812.01n2Organizational.8 - 01.n I dispositivi remoti che stabiliscono una connessione non remota non sono autorizzati a comunicare con risorse esterne (remote). Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo delle connessioni di rete 0812.01n2Organizational.8 - 01.n I dispositivi remoti che stabiliscono una connessione non remota non sono autorizzati a comunicare con risorse esterne (remote). Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Controllo delle connessioni di rete 0814.01n1Organizational.12 - 01.n La possibilità per gli utenti di connettersi alla rete interna è limitata tramite criteri deny-by-default e allow-by-exception nelle interfacce gestite in base ai criteri di controllo di accesso e ai requisiti delle applicazioni cliniche e aziendali. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controllo delle connessioni di rete 0814.01n1Organizational.12 - 01.n La possibilità per gli utenti di connettersi alla rete interna è limitata tramite criteri deny-by-default e allow-by-exception nelle interfacce gestite in base ai criteri di controllo di accesso e ai requisiti delle applicazioni cliniche e aziendali. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Identificazione e autenticazione utente 11210.01q2Organizational.10 - 01.q Le firme elettroniche e le firme a mano eseguite in record elettronici dovranno essere collegate ai rispettivi record elettronici. Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Identificazione e autenticazione utente 11211.01q2Organizational.11 - 01.q I record elettronici firmati conterranno informazioni associate alla firma in formato leggibile. Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Identificazione e autenticazione utente 1123.01q1System.2 - 01.q Per eseguire funzioni con privilegi (ad esempio amministrazione del sistema), gli utenti usano account separati. Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators 1.0.0
Identificazione e autenticazione utente 1125.01q2System.1 - 01.q I metodi di autenticazione a più fattori vengono usati in conformità ai criteri dell'organizzazione, ad esempio per l'accesso remoto alla rete. Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Identificazione e autenticazione utente 1127.01q2System.3 - 01.q Se vengono forniti token per l'autenticazione a più fattori, prima di concedere l'accesso è necessaria una verifica di persona. Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Registrazione di controllo 1202.09aa1System.1 - 09.aa Per tutte le attività svolte nel sistema (creazione, lettura, aggiornamento, eliminazione) riguardanti informazioni riservate viene creato un record di controllo sicuro. Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Registrazione di controllo 1206.09aa2System.23 - 09.aa Il controllo è sempre disponibile quando il sistema è attivo e monitora gli eventi principali, la riuscita/errore dell'accesso ai dati, le modifiche apportate alla configurazione della sicurezza del sistema, l'uso di privilegi o utilità, gli eventuali avvisi generati,  l'attivazione e la disattivazione dei sistemi di protezione, ad esempio antivirus e sistemi di rilevamento intrusioni, l'attivazione e la disattivazione dei meccanismi di identificazione e autenticazione e la creazione e l'eliminazione di oggetti a livello del sistema. I log delle risorse nei set di scalabilità di macchine virtuali devono essere abilitati 2.0.1
Utilizzo del sistema di monitoraggio 12100.09ab2System.15 - 09.ab L'organizzazione monitora il sistema informativo per identificare irregolarità o anomalie che indichino un malfunzionamento o la compromissione di un sistema e verifica che il sistema funzioni in uno stato ottimale, resiliente e sicuro. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Utilizzo del sistema di monitoraggio 12101.09ab1Organizational.3 - 09.ab L'organizzazione specifica la frequenza con cui vengono revisionati i log di controllo e il modo in cui le revisioni vengono documentate, oltre a determinare le responsabilità e i ruoli specifici del personale che svolge le revisioni, tra cui le certificazioni professionali o altre qualifiche necessarie. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Utilizzo del sistema di monitoraggio 12102.09ab1Organizational.4 - 09.ab L'organizzazione testerà periodicamente i propri processi di monitoraggio e rilevamento, correggerà le carenze e migliorerà i processi. Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto 1.0.0
Utilizzo del sistema di monitoraggio 1215.09ab2System.7 - 09.ab I sistemi di controllo e monitoraggio usati dall'organizzazione supportano la riduzione del controllo e la generazione di report. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Utilizzo del sistema di monitoraggio 1216.09ab3System.12 - 09.ab Ogni giorno vengono usati sistemi automatizzati per analizzare le attività di monitoraggio dei sistemi di sicurezza, ad esempio i sistemi di prevenzione/rilevamento intrusioni, e i record di sistema, oltre che per identificare e documentare le anomalie. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Utilizzo del sistema di monitoraggio 1217.09ab3System.3 - 09.ab Vengono generati avvisi per consentire al personale tecnico di analizzare e investigare attività sospette o presunte violazioni. Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto 1.0.0
Separazione dei compiti 1232.09c3Organizational.12 - 09.c L'accesso per gli individui responsabili dell'amministrazione dei  controlli di accesso è limitato al minimo necessario in base al ruolo e alle responsabilità di ogni utente e questi individui non possono accedere alle funzioni di controllo correlate a questi controlli. I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' 2.0.0
Separazione dei compiti 1277.09c2Organizational.4 - 09.c L'avvio di un evento è separato dalla relativa autorizzazione per ridurre la possibilità di collusione. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' 2.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server 1.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione 1.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Controlli del codice dannoso 0201.09j1Organizational.124 - 09.j In tutti i dispositivi degli utenti finali sono installati, operativi e aggiornati programmi antivirus e antispyware per eseguire analisi periodiche dei sistemi al fine di identificare e rimuovere software non autorizzato. Gli ambienti server per cui lo sviluppatore di software per server consiglia specificamente di non installare software antivirus e antispyware basati su host possono soddisfare il requisito tramite una soluzione di rilevamento malware basata sulla rete. Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Back-up 1620.09l1Organizational.8 - 09.l Quando il servizio di backup viene fornito dalla terza parte, il contratto di servizio include le misure di protezione dettagliate per controllare la riservatezza, l'integrità e la disponibilità delle informazioni di backup. La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Back-up 1625.09l3Organizational.34 - 09.l I backup di tre (3) generazioni (completi più tutti quelli incrementali o differenziali correlati) vengono archiviati fuori sede e i backup sia in sede che fuori sede vengono registrati con nome, data, ora e azione. La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Back-up 1699.09l1Organizational.10 - 09.l I ruoli e le responsabilità dei membri della forza lavoro nel processo di backup dei dati vengono identificati e comunicati alla forza lavoro; in particolare gli utenti in modalità BYOD (Bring Your Own Device) sono tenuti a eseguire i backup dei dati dell'organizzazione e/o dei clienti nei loro dispositivi. La soluzione Backup di Azure deve essere abilitata per le macchine virtuali 2.0.0
Controlli di rete 0858.09m1Organizational.4 - 09.m L'organizzazione monitora tutti gli accessi wireless autorizzati e non autorizzati al sistema informativo e impedisce l'installazione di punti di accesso wireless, a meno che non sia esplicitamente autorizzata per iscritto dal CIO o da un suo rappresentante designato. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Controlli di rete 0858.09m1Organizational.4 - 09.m L'organizzazione monitora tutti gli accessi wireless autorizzati e non autorizzati al sistema informativo e impedisce l'installazione di punti di accesso wireless, a meno che non sia esplicitamente autorizzata per iscritto dal CIO o da un suo rappresentante designato. Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controlli di rete 0858.09m1Organizational.4 - 09.m L'organizzazione monitora tutti gli accessi wireless autorizzati e non autorizzati al sistema informativo e impedisce l'installazione di punti di accesso wireless, a meno che non sia esplicitamente autorizzata per iscritto dal CIO o da un suo rappresentante designato. I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' 2.0.0
Controlli di rete 0859.09m1Organizational.78 - 09.m L'organizzazione garantisce la sicurezza delle informazioni nelle reti, la disponibilità dei servizi di rete e dei servizi informativi tramite la rete e la protezione dei servizi connessi da accessi non autorizzati. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Controlli di rete 0861.09m2Organizational.67 - 09.m Per identificare e autenticare i dispositivi in reti locali e/o WAN, incluse le reti wireless,  il sistema informativo usa (i) una soluzione informatica nota condivisa oppure (ii) una soluzione di autenticazione aziendale, la cui selezione esatta e affidabilità dipendono dalla classificazione di sicurezza del sistema informativo. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' 2.0.0
Sicurezza dei servizi di rete 0835.09n1Organizational.1 - 09.n I servizi concordati offerti da un gestore/provider di servizi di rete vengono gestiti e monitorati in modo formale per assicurarsi che vengano forniti in modo sicuro. L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows 1.0.1-preview
Sicurezza dei servizi di rete 0835.09n1Organizational.1 - 09.n I servizi concordati offerti da un gestore/provider di servizi di rete vengono gestiti e monitorati in modo formale per assicurarsi che vengano forniti in modo sicuro. È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager 1.0.0
Sicurezza dei servizi di rete 0836.09.n2Organizational.1 - 09.n L'organizzazione autorizza formalmente e documenta le caratteristiche di ogni connessione tra un sistema informativo e altri sistemi informativi esterni all'organizzazione. L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux 1.0.1-preview
Sicurezza dei servizi di rete 0885.09n2Organizational.3 - 09.n L'organizzazione esamina e aggiorna regolarmente gli accordi per la sicurezza delle interconnessioni verificando che siano applicati i requisiti di sicurezza. L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux 1.0.1-preview
Sicurezza dei servizi di rete 0887.09n2Organizational.5 - 09.n L'organizzazione impone ai provider di servizi esterni/in outsourcing di identificare le funzioni, le porte e i protocolli specifici usati per il provisioning dei servizi esterni/in outsourcing. L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows 1.0.1-preview
Gestione dei supporti rimovibili 0302.09o2Organizational.1 - 09.o L'organizzazione protegge e controlla i supporti contenenti informazioni sensibili durante il trasporto al di fuori delle aree controllate. È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Gestione dei supporti rimovibili 0303.09o2Organizational.2 - 09.o Vengono identificati i supporti digitali e non digitali che richiedono l'uso con restrizioni e le specifiche misure di salvaguardia adottate per limitarne l'uso. È consigliabile crittografare i dischi non collegati 1.0.0
Transazioni online 0945.09y1Organizational.3 - 09.y I protocolli usati per le comunicazioni tra tutte le parti coinvolte sono protetti con tecniche crittografiche, ad esempio SSL. Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale 1.0.1
Controllo del software operativo 0605.10h1System.12 - 10.h L'implementazione di aggiornamenti approvati di software, applicazioni e librerie di programmi è consentita solo agli amministratori autorizzati, in base ai requisiti aziendali e alle implicazioni delle versioni per la sicurezza. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Controllo del software operativo 0605.10h1System.12 - 10.h L'implementazione di aggiornamenti approvati di software, applicazioni e librerie di programmi è consentita solo agli amministratori autorizzati, in base ai requisiti aziendali e alle implicazioni delle versioni per la sicurezza. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' 2.0.0
Controllo del software operativo 0605.10h1System.12 - 10.h L'implementazione di aggiornamenti approvati di software, applicazioni e librerie di programmi è consentita solo agli amministratori autorizzati, in base ai requisiti aziendali e alle implicazioni delle versioni per la sicurezza. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' 2.0.0
Controllo del software operativo 0606.10h2System.1 - 10.h Le applicazioni e i sistemi operativi vengono correttamente testati per verificarne l'usabilità, la sicurezza e l'impatto prima del passaggio in produzione. È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Controllo del software operativo 0607.10h2System.23 - 10.h L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Controllo del software operativo 0607.10h2System.23 - 10.h L'organizzazione usa il proprio programma di controllo delle configurazioni per mantenere il controllo di tutto il software implementato e della relativa documentazione di sistema e per archiviare le versioni precedenti del software implementato e della documentazione di sistema associata. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Procedure di controllo delle modifiche 0635.10k1Organizational.12 - 10.k I manager responsabili dei sistemi applicativi sono anche responsabili del controllo rigoroso (sicurezza) del progetto o di supportare l'ambiente e assicurare che tutte le modifiche proposte per il sistema vengano esaminate per verificare che non compromettano la sicurezza del sistema o dell'ambiente operativo. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0636.10k2Organizational.1 - 10.k L'organizzazione affronta formalmente scopo, ambito, ruoli, responsabilità, impegno di gestione, coordinamento tra entità dell'organizzazione e conformità per la gestione della configurazione (ad esempio tramite criteri, standard, processi). I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0637.10k2Organizational.2 - 10.k L'organizzazione ha sviluppato, documentato e implementato un piano di gestione delle configurazioni per il sistema informativo. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0638.10k2Organizational.34569 - 10.k Le modifiche vengono formalmente controllate, documentate e applicate per ridurre al minimo il danneggiamento dei sistemi informativi. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0639.10k2Organizational.78 - 10.k Vengono usati elenchi di controllo dell'installazione e analisi delle vulnerabilità per convalidare la configurazione di server, workstation, dispositivi e appliance e garantire che la configurazione soddisfi gli standard minimi. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0640.10k2Organizational.1012 - 10.k Quando lo sviluppo è affidato in outsourcing, le procedure di controllo modifiche per risolvere i problemi di sicurezza sono incluse nei contratti e richiedono in modo specifico che lo sviluppatore tenga traccia dei difetti di sicurezza e della relativa correzione all'interno del sistema, del componente o del servizio e segnali i risultati al personale o ai ruoli definiti dall'organizzazione. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0641.10k2Organizational.11 - 10.k L'organizzazione non usa aggiornamenti automatici nei sistemi critici. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0642.10k3Organizational.12 - 10.k L'organizzazione sviluppa, documenta e mantiene, nell'ambito del controllo delle configurazioni, una configurazione di riferimento aggiornata del sistema informativo, che esamina e aggiorna se necessario. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0643.10k3Organizational.3 - 10.k L'organizzazione (i) stabilisce e documenta le impostazioni di configurazione obbligatorie per i prodotti IT utilizzati all'interno del sistema operativo usando le baseline di configurazione della sicurezza più recenti, (ii) identifica, documenta e approva le eccezioni alle impostazioni di configurazione stabilite come obbligatorie per i singoli componenti in base a requisiti operativi espliciti e (iii) monitora e controlla le modifiche apportate alle impostazioni di configurazione in conformità ai criteri e alle procedure aziendali. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Procedure di controllo delle modifiche 0644.10k3Organizational.4 - 10.k L'organizzazione adotta meccanismi automatizzati per (i) gestire, applicare e verificare a livello centrale le impostazioni di configurazione, (ii) rispondere alle modifiche non autorizzate apportate alle impostazioni di configurazione correlate alla sicurezza della rete e dei sistemi e (iii) imporre restrizioni di accesso e il controllo delle azioni di imposizione. I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' 2.0.0
Controllo delle vulnerabilità tecniche 0709.10m1Organizational.1 - 10.m Le vulnerabilità tecniche vengono identificate, valutate per rilevare eventuali rischi e corrette in maniera tempestiva. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Controllo delle vulnerabilità tecniche 0709.10m1Organizational.1 - 10.m Le vulnerabilità tecniche vengono identificate, valutate per rilevare eventuali rischi e corrette in maniera tempestiva. È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Controllo delle vulnerabilità tecniche 0709.10m1Organizational.1 - 10.m Le vulnerabilità tecniche vengono identificate, valutate per rilevare eventuali rischi e corrette in maniera tempestiva. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Controllo delle vulnerabilità tecniche 0709.10m1Organizational.1 - 10.m Le vulnerabilità tecniche vengono identificate, valutate per rilevare eventuali rischi e corrette in maniera tempestiva. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Controllo delle vulnerabilità tecniche 0709.10m1Organizational.1 - 10.m Le vulnerabilità tecniche vengono identificate, valutate per rilevare eventuali rischi e corrette in maniera tempestiva. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' 2.0.0
Controllo delle vulnerabilità tecniche 0711.10m2Organizational.23 - 10.m Viene implementato un programma di gestione delle vulnerabilità tecniche per monitorare, valutare, classificare e correggere le vulnerabilità identificate nei sistemi. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Controllo delle vulnerabilità tecniche 0713.10m2Organizational.5 - 10.m Le patch vengono testate e valutate prima dell'installazione. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Controllo delle vulnerabilità tecniche 0714.10m2Organizational.7 - 10.m Il programma di gestione delle vulnerabilità tecniche viene valutato ogni trimestre. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Controllo delle vulnerabilità tecniche 0715.10m2Organizational.8 - 10.m I sistemi sono correttamente rafforzati, ad esempio configurati solo con servizi, porte e protocolli abilitati necessari e sicuri. È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Controllo delle vulnerabilità tecniche 0717.10m3Organizational.2 - 10.m Gli strumenti di analisi delle vulnerabilità includono la possibilità di aggiornare prontamente le vulnerabilità del sistema informativo analizzate. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Controllo delle vulnerabilità tecniche 0718.10m3Organizational.34 - 10.m L'organizzazione analizza le vulnerabilità del sistema informativo e delle applicazioni ospitate per determinare lo stato della correzione dei difetti ogni mese (automaticamente) e di nuovo (manualmente o automaticamente) quando vengono identificate e segnalate nuove vulnerabilità che potrebbero interessare i sistemi e gli ambienti di rete. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Continuità aziendale e valutazione del rischio 1634.12b1Organizational.1 - 12.b L'organizzazione identifica i processi aziendali critici che richiedono continuità aziendale. Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Continuità aziendale e valutazione del rischio 1637.12b2Organizational.2 - 12.b L'analisi dell'impatto aziendale viene usata per valutare le conseguenze di situazioni di emergenza, problemi di sicurezza, perdita del servizio e disponibilità del servizio. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' 2.0.0
Continuità aziendale e valutazione del rischio 1638.12b2Organizational.345 - 12.b Le valutazioni dei rischi per la continuità aziendale (i) vengono eseguite ogni anno con il pieno coinvolgimento dei proprietari di risorse e processi aziendali, (ii) considerano tutti i processi aziendali e non si limitano agli asset informativi ma includono i risultati specifici per la sicurezza delle informazioni e (iii) identificano, quantificano e assegnano priorità ai rischi rispetto ai principali obiettivi di business e ai criteri pertinenti per l'organizzazione, tra cui risorse cruciali, impatto delle interruzioni, tempi di interruzione consentiti e priorità per il ripristino. Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0

IRS 1075 settembre 2016

Per esaminare il mapping delle regole Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - IRS 1075 September 2016 (Conformità alle normative di Criteri di Azure - IRS 1075 settembre 2016). Per altre informazioni su questo standard di conformità, vedere IRS 1075 settembre 2016.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso 9.3.1.2 Gestione degli account (AC-2) Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso 9.3.1.5 Separazione dei compiti (AC-5) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.3.1.5 Separazione dei compiti (AC-5) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.3.1.5 Separazione dei compiti (AC-5) Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 9.3.1.5 Separazione dei compiti (AC-5) Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 9.3.1.5 Separazione dei compiti (AC-5) Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso 9.3.1.6 Privilegi minimi (AC-6) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.3.1.6 Privilegi minimi (AC-6) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.3.1.6 Privilegi minimi (AC-6) Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 9.3.1.6 Privilegi minimi (AC-6) Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 9.3.1.6 Privilegi minimi (AC-6) Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso 9.3.1.12 Accesso remoto (AC-17) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.3.1.12 Accesso remoto (AC-17) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.3.1.12 Accesso remoto (AC-17) Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso 9.3.1.12 Accesso remoto (AC-17) Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Consapevolezza e formazione 9.3.3.3 Contenuto dei record di controllo (AU-3) Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Consapevolezza e formazione 9.3.3.3 Contenuto dei record di controllo (AU-3) L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Consapevolezza e formazione 9.3.3.3 Contenuto dei record di controllo (AU-3) L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Consapevolezza e formazione 9.3.3.6 Verifica, analisi e creazione di report di controllo (AU-6) Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Consapevolezza e formazione 9.3.3.6 Verifica, analisi e creazione di report di controllo (AU-6) L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Consapevolezza e formazione 9.3.3.6 Verifica, analisi e creazione di report di controllo (AU-6) L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Consapevolezza e formazione 9.3.3.11 Generazione di controlli (AU-12) Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Consapevolezza e formazione 9.3.3.11 Generazione di controlli (AU-12) L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Consapevolezza e formazione 9.3.3.11 Generazione di controlli (AU-12) L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Gestione della configurazione 9.3.5.7 Funzionalità minima (CM-7) I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione 9.3.5.11 User-Installed Software (CM-11) I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Piani di emergenza 9.3.6.6 Sito di elaborazione alternativo (CP-7) Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows in cui la validità massima della password non è impostata su 70 giorni 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows in cui la validità minima della password non è impostata su 1 giorno 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Identificazione e autenticazione 9.3.7.5 Gestione autenticatori (IA-5) Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Valutazione dei rischi 9.3.14.3 Analisi delle vulnerabilità (RA-5) È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi 9.3.14.3 Analisi delle vulnerabilità (RA-5) Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Valutazione dei rischi 9.3.14.3 Analisi delle vulnerabilità (RA-5) Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Protezione del sistema e delle comunicazioni 9.3.16.5 Protezione dei limiti (SC-7) I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Protezione del sistema e delle comunicazioni 9.3.16.5 Protezione dei limiti (SC-7) Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni 9.3.16.5 Protezione dei limiti (SC-7) È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni 9.3.16.6 Riservatezza e integrità delle trasmissioni (SC-8) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Protezione del sistema e delle comunicazioni 9.3.16.6 Riservatezza e integrità delle trasmissioni (SC-8) Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Protezione del sistema e delle comunicazioni 9.3.16.6 Riservatezza e integrità delle trasmissioni (SC-8) Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Protezione del sistema e delle comunicazioni 9.3.16.6 Riservatezza e integrità delle trasmissioni (SC-8) I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni 9.3.16.15 Protezione delle informazioni in pausa (SC-28) È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Integrità del sistema e delle informazioni 9.3.17.2 Correzione dei difetti (SI-2) È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Integrità del sistema e delle informazioni 9.3.17.2 Correzione dei difetti (SI-2) Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Integrità del sistema e delle informazioni 9.3.17.2 Correzione dei difetti (SI-2) Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Integrità del sistema e delle informazioni 9.3.17.2 Correzione dei difetti (SI-2) Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Integrità del sistema e delle informazioni 9.3.17.2 Correzione dei difetti (SI-2) Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Integrità del sistema e delle informazioni 9.3.17.3 Protezione da codice dannoso (SI-3) La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni 9.3.17.3 Protezione da codice dannoso (SI-3) Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni 9.3.17.4 Monitoraggio del sistema di informazioni (SI-4) Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Integrità del sistema e delle informazioni 9.3.17.4 Monitoraggio del sistema di informazioni (SI-4) L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Integrità del sistema e delle informazioni 9.3.17.4 Monitoraggio dei sistemi in tempo reale (SI-4) L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0

ISO 27001:2013

Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - ISO 27001:2013 ( Conformità alle normative di Criteri di Azure - ISO 27001:2013). Per altre informazioni su questo standard di conformità, vedere ISO 27001:2013.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Controlla macchine virtuali che non usano dischi gestiti 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo di accesso 9.1.2 Accesso a reti e servizi di rete È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager 1.0.0
Controllo di accesso 9.2.4 Gestione delle informazioni di autenticazione segreta degli utenti Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.2.4 Gestione delle informazioni di autenticazione segreta degli utenti Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.2.4 Gestione delle informazioni di autenticazione segreta degli utenti Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Controllo di accesso 9.2.4 Gestione delle informazioni di autenticazione segreta degli utenti Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Controlla i computer Windows in cui la validità massima della password non è impostata su 70 giorni 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Controlla i computer Windows in cui la validità minima della password non è impostata su 1 giorno 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Controllo di accesso 9.4.3 Sistema di gestione delle password Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Crittografia 10.1.1 Criteri sull'uso dei controlli crittografici Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Crittografia 10.1.1 Criteri sull'uso dei controlli crittografici Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Crittografia 10.1.1 Criteri sull'uso dei controlli crittografici Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Crittografia 10.1.1 Criteri sull'uso dei controlli crittografici Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Crittografia 10.1.1 Criteri sull'uso dei controlli crittografici È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Sicurezza delle operazioni 12.4.1 Registrazione degli eventi Dependency Agent deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.1 Registrazione degli eventi Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.1 Registrazione degli eventi L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Sicurezza delle operazioni 12.4.1 Registrazione degli eventi L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.3 Log dell'amministratore e dell'operatore Dependency Agent deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.3 Log dell'amministratore e dell'operatore Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.3 Log dell'amministratore e dell'operatore L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Sicurezza delle operazioni 12.4.3 Log dell'amministratore e dell'operatore L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.4 Sincronizzazione dell'orologio Dependency Agent deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.4 Sincronizzazione dell'orologio Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.4.4 Sincronizzazione dell'orologio L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Sicurezza delle operazioni 12.4.4 Sincronizzazione dell'orologio L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Sicurezza delle operazioni 12.5.1 Installazione del software nei sistemi operativi I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Sicurezza delle operazioni 12.6.1 Gestione delle vulnerabilità tecniche È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Sicurezza delle operazioni 12.6.1 Gestione delle vulnerabilità tecniche Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Sicurezza delle operazioni 12.6.1 Gestione delle vulnerabilità tecniche Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Sicurezza delle operazioni 12.6.1 Gestione delle vulnerabilità tecniche Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Sicurezza delle operazioni 12.6.2 Restrizioni per l'installazione del software I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Sicurezza delle comunicazioni 13.1.1 Controlli di rete È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0

Nuova Zelanda - ISM con restrizioni

Per esaminare il mapping delle Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - New Zealand ISM Restricted. Per altre informazioni su questo standard di conformità, vedere New Zealand ISM Restricted.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Monitoraggio della sicurezza delle informazioni ISM-3 6.2.5 Esecuzione di valutazioni della vulnerabilità È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Monitoraggio della sicurezza delle informazioni ISM-3 6.2.5 Esecuzione di valutazioni delle vulnerabilità È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Monitoraggio della sicurezza delle informazioni ISM-3 6.2.5 Esecuzione di valutazioni delle vulnerabilità Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Monitoraggio della sicurezza delle informazioni ISM-3 6.2.5 Esecuzione di valutazioni delle vulnerabilità Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Sicurezza del prodotto PRS-5 12.4.4 Vulnerabilità di applicazione di patch nei prodotti Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Sicurezza del prodotto PRS-5 12.4.4 Vulnerabilità di applicazione di patch nei prodotti Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Sicurezza del software SS-2 14.1.9 Gestione di soE con protezione avanzata Distribuisci: configurare Dependency Agent per l'avirtualizzazione nei set di scalabilità di macchine virtuali Windows 2.0.0
Sicurezza del software SS-2 14.1.9 Manutenzione di soe con protezione avanzata La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Sicurezza del software SS-2 14.1.9 Manutenzione di soe con protezione avanzata È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows 1.0.0
Sicurezza del software SS-2 14.1.9 Manutenzione di soe con protezione avanzata Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Sicurezza del software SS-4 14.2.4 Elenco di applicazioni non vuoti I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente del sistema Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente del sistema Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente del sistema Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente del sistema Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente del sistema Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente di sistema Distribuisci: configurare Dependency Agent per l'avirtualizzazione nelle macchine virtuali Windows 2.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente di sistema Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo di accesso e password AC-2 16.1.32 Identificazione utente di sistema Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso e password AC-4 16.1.40 Criterio di selezione password Distribuisci: configurare Dependency Agent per l'avirtualizzazione nelle macchine virtuali Windows 2.0.0
Controllo di accesso e password AC-4 16.1.40 Criterio di selezione password I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' 2.0.0
Controllo di accesso e password AC-5 16.1.46 Sospensione dell'accesso Distribuisci: configurare Dependency Agent per l'avirtualizzazione nelle macchine virtuali Windows 2.0.0
Controllo di accesso e password AC-7 16.2.5 Protezione delle informazioni compartimentate nei sistemi Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso e password AC-9 16.3.5 Uso di account con privilegi Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-9 16.3.5 Uso di account con privilegi Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-9 16.3.5 Uso di account con privilegi Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso e password AC-9 16.3.5 Uso di account con privilegi Distribuire - Configurare Dependency Agent per l'abilità nelle macchine virtuali Windows 2.0.0
Controllo di accesso e password AC-9 16.3.5 Uso di account con privilegi Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso e password AC-14 16.6.7 Contenuto dei log di gestione del sistema Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo di accesso e password AC-14 16.6.7 Contenuto dei log di gestione del sistema L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo di accesso e password AC-14 16.6.7 Contenuto dei log di gestione del sistema L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Crittografia CR-2 17.1.46 Riduzione dei requisiti di archiviazione e trasferimento fisico È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Crittografia CR-6 17.4.16 Uso di TLS Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Crittografia CR-6 17.4.16 Uso di TLS I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Sicurezza di rete NS-2 18.1.13 Limitazione dell'accesso alla rete Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Sicurezza di rete NS-2 18.1.13 Limitazione dell'accesso alla rete Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Gestione dei dati DM-4 20.3.10 Analisi antivirus Distribuisci: configurare Dependency Agent per l'avirtualizzazione nei set di scalabilità di macchine virtuali Windows 2.0.0
Gestione dei dati DM-4 20.3.10 Analisi antivirus La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Gestione dei dati DM-4 20.3.10 Analisi antivirus Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Gestione dei dati DM-4 20.3.10 Analisi antivirus Windows Defender Exploit Guard deve essere abilitato nei computer 1.1.1
Gestione dei dati DM-6 20.4.4 File di database È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Gestione dei dati DM-6 20.4.4 File di database I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Sicurezza dei sistemi aziendali ESS-3 22.1.26 Backup, archiviazione di ripristino e gestione dei dati Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0

NIST SP 800-171 R2

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso 3.1.1 Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 3.1.1 Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 3.1.1 Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso 3.1.1 Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso 3.1.1 Limitare l'accesso al sistema a utenti autorizzati, processi che agiscono per conto di utenti autorizzati e dispositivi (inclusi altri sistemi). I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Controllo di accesso 3.1.4 Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 3.1.4 Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso 3.1.12 Monitorare e controllare le sessioni di accesso remoto. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso 3.1.12 Monitorare e controllare le sessioni di accesso remoto. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso 3.1.12 Monitorare e controllare le sessioni di accesso remoto. Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso 3.1.12 Monitorare e controllare le sessioni di accesso remoto. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo di accesso 3.1.12 Monitorare e controllare le sessioni di accesso remoto. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Controllo e responsabilità 3.3.1 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità 3.3.1 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità 3.3.1 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità 3.3.1 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Controllo e responsabilità 3.3.1 Creare e mantenere i record e i log di controllo del sistema nella misura necessaria per consentire il monitoraggio, l'analisi, l'indagine e la creazione di report relativi ad attività di sistema illegali o non autorizzate. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Controllo e responsabilità 3.3.2 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità 3.3.2 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità 3.3.2 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità 3.3.2 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali 1.0.0
Controllo e responsabilità 3.3.2 Assicurarsi che le azioni dei singoli utenti del sistema possano essere tracciate in modo univoco, in modo che tali utenti possano essere considerati responsabili delle loro azioni. L'agente di Log Analytics deve essere installato nelle macchine virtuali 1.0.0
Gestione della configurazione 3.4.7 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione 3.4.8 Applicare i criteri deny-by-exception (inclusione nell'elenco di elementi non consentiti) per impedire l'uso di software non autorizzato o i criteri deny-all, permit-by-exception (inclusione nell'elenco di elementi consentiti) per consentire l'esecuzione di software autorizzato. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione 3.4.9 Controllare e monitorare il software installato dall'utente. I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Identificazione e autenticazione 3.5.2 Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione 3.5.2 Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione 3.5.2 Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione 3.5.2 Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione 3.5.2 Autenticare (o verificare) le identità di utenti, processi o dispositivi come prerequisito per consentire l'accesso ai sistemi aziendali. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione 3.5.7 Applicare una complessità minima delle password e la modifica dei caratteri quando vengono create nuove password. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione 3.5.8 Proibire il riutilizzo delle password per un numero specificato di generazioni. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione 3.5.8 Proibire il riutilizzo delle password per un numero specificato di generazioni. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione 3.5.8 Proibire il riutilizzo delle password per un numero specificato di generazioni. Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identificazione e autenticazione 3.5.8 Proibire il riutilizzo delle password per un numero specificato di generazioni. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione 3.5.8 Proibire il riutilizzo delle password per un numero specificato di generazioni. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione 3.5.10 Archiviare e trasmettere solo le password protette con crittografia. I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' 2.0.0
Valutazione dei rischi 3.11.2 Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi 3.11.2 Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori 3.0.0
Valutazione dei rischi 3.11.2 Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Valutazione dei rischi 3.11.2 Analizzare periodicamente le vulnerabilità in sistemi e applicazioni aziendali e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Protezione del sistema e delle comunicazioni 3.13.1 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni 3.13.1 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni 3.13.1 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni 3.13.5 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni 3.13.5 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni 3.13.5 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete 3.0.0
Protezione del sistema e delle comunicazioni 3.13.8 Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni 3.13.16 Proteggere la riservatezza di CUI nello stato inattivo. È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Integrità del sistema e delle informazioni 3.14.2 Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni 3.14.2 Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows 1.0.0
Integrità del sistema e delle informazioni 3.14.2 Fornire protezione da codice dannoso in posizioni designate all'interno di sistemi aziendali. Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0

NIST SP 800-53 R4

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 R4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 R4.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo di accesso AC-2 (12) Gestione degli account | Monitoraggio/Utilizzo atipico degli account Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Controllo di accesso AC-5 Separazione dei compiti Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-5 Separazione dei compiti Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-6 (7) Privilegi minimi | Revisione dei privilegi degli utenti Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-6 (7) Privilegi minimi | Revisione dei privilegi degli utenti Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators 1.0.0
Controllo di accesso AC-17 (1) Accesso remoto | Monitoraggio/Controllo automatico Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Controllo di accesso AC-17 (1) Accesso remoto | Monitoraggio/Controllo automatico Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Controllo di accesso AC-17 (1) Accesso remoto | Monitoraggio/Controllo automatico Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Controllo di accesso AC-17 (1) Accesso remoto | Monitoraggio/Controllo automatico Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Controllo di accesso AC-17 (1) Accesso remoto | Monitoraggio/Controllo automatico Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Controllo e responsabilità AU-3 (2) Contenuto dei record di controllo | Gestione centralizzata del contenuto dei record di controllo pianificati Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU-3 (2) Contenuto dei record di controllo | Gestione centralizzata del contenuto dei record di controllo pianificati L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU-3 (2) Contenuto dei record di controllo | Gestione centralizzata del contenuto dei record di controllo pianificati L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU-6 (4) Verifica, analisi e report di controllo | Verifica e analisi centralizzate Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU-6 (4) Verifica, analisi e report di controllo | Verifica e analisi centralizzate L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU-6 (4) Verifica, analisi e report di controllo | Verifica e analisi centralizzate L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Controllo e responsabilità AU-12 Generazione di controllo Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Controllo e responsabilità AU-12 Generazione di controllo L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Controllo e responsabilità AU-12 Generazione di controllo L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0
Gestione della configurazione CM-7 (2) Funzionalità minima | Impedire l'esecuzione di programmi I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM-7 (5) Funzionalità minima | Software autorizzato/elenco elementi consentiti I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Gestione della configurazione CM-11 Software installato dall'utente I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Piani di emergenza CP-7 Sito di elaborazione alternativo Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Identificazione e autenticazione IA-5 Gestione autenticatori Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la validità massima della password non è impostata su 70 giorni 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la validità minima della password non è impostata su 1 giorno 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Controlla i computer Windows che non archiviano le password usando la crittografia reversibile 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Identificazione e autenticazione IA-5 (1) Gestione autenticatori | Autenticazione basata su password Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Valutazione dei rischi RA-5 Analisi vulnerabilità Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione del sistema e delle comunicazioni SC-7 (3) Protezione dei limiti | Punti di accesso Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC-7 (4) Protezione dei limiti | Servizi di telecomunicazione esterni Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0
Protezione del sistema e delle comunicazioni SC-8 (1) Riservatezza e integrità delle trasmissioni | Protezione crittografica o fisica in alternativa I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione del sistema e delle comunicazioni SC-28 (1) Protezione delle informazioni inattive | Protezione crittografica È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI-2 Correzione degli errori Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Integrità del sistema e delle informazioni SI-3 Protezione dal malware La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI-3 Protezione dal malware Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni SI-3 (1) Protezione dal malware | Gestione centrale La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Integrità del sistema e delle informazioni SI-3 (1) Protezione dal malware | Gestione centrale Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi Controlla area di lavoro Log Analytics per la macchina virtuale - Segnala mancata corrispondenza 1.0.1
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi L'agente di Log Analytics deve essere abilitato per le immagini di macchine virtuali elencate 2.0.0-preview
Integrità del sistema e delle informazioni SI-4 Monitoraggio dei sistemi informativi L'agente di Log Analytics deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini di macchine virtuali elencate 2.0.0

UK OFFICIAL e UK NHS

Per esaminare il mapping dei Criteri di Azure predefiniti disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Criteri di Azure Regulatory Compliance - UK OFFICIAL and UK NHS (Conformità alle normative di Criteri di Azure - UK OFFICIAL e UK NHS). Per altre informazioni su questo standard di conformità, vedere UK OFFICIAL.

Dominio ID controllo Titolo controllo Policy
(Portale di Azure)
Versione del criterio
(GitHub)
Protezione dei dati in transito 1 Protezione dei dati in transito I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri 2.1.0
Protezione e resilienza degli asset 2.3 Protezione dei dati in stato di inquieto È consigliabile applicare la crittografia del disco nelle macchine virtuali 2.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali 3.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure 3.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati 3.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità Gli aggiornamenti di sistema devono essere installati nelle macchine 4.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte 3.0.0
Sicurezza operativa 5,2 Gestione vulnerabilità Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte 3.0.0
Sicurezza operativa 5.3 Monitoraggio protettivo I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Sicurezza operativa 5.3 Monitoraggio protettivo Controlla macchine virtuali in cui non è configurato il ripristino di emergenza 1.0.0
Identità e autenticazione 10 Identità e autenticazione Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità 1.0.0
Identità e autenticazione 10 Identità e autenticazione Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Linux che consentono connessioni remote da account senza password 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Linux in cui sono presenti account senza password 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla macchine virtuali che non usano dischi gestiti 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Windows che consentono il riutilizzo delle 24 password precedenti 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Windows in cui la validità massima della password non è impostata su 70 giorni 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Windows in cui la validità minima della password non è impostata su 1 giorno 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password 1.0.0
Identità e autenticazione 10 Identità e autenticazione Controlla i computer Windows in cui la lunghezza minima della password non è limitata a 14 caratteri 1.0.0
Identità e autenticazione 10 Identità e autenticazione Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux 1.0.0
Identità e autenticazione 10 Identità e autenticazione Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows 1.0.0
Identità e autenticazione 10 Identità e autenticazione È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager 1.0.0
Protezione dell'interfaccia esterna 11 Protezione dell'interfaccia esterna I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer 3.0.0
Protezione dell'interfaccia esterna 11 Protezione dell'interfaccia esterna Le raccomandazioni di Protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali con connessione Internet 3.0.0
Protezione dell'interfaccia esterna 11 Protezione dell'interfaccia esterna È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale 3.0.0
Protezione dell'interfaccia esterna 11 Protezione dell'interfaccia esterna La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali 3.0.0
Protezione dell'interfaccia esterna 11 Protezione dell'interfaccia esterna Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT 3.0.0

Passaggi successivi